警惕 DApp 过度授权类骗局

2022-03-17

安全是 Bitget Wallet （原 BitKeep）最重视的课题，没有之一。作为钱包，安全保管好用户的资产是其基本使命，但这个过程需要用户不断了解和学习相关安全知识，提高识别骗局的能力和自我保护的认知。

因此我们会把不同渠道、不同方式的诈骗手段罗列出来，大家只有在熟悉了诈骗的核心和套路模板后，才能在未来探索加密行业的过程中，有意识去防范。

防范的核心也很简单，这里给大家简单总结：收益返现不要信，过度防范的核心也很简单，这里给大家简单总结：收益返现不要信，过度授权很危险；陌生人和二维码，不理不信不要扫；安全提示看清楚，无法分辨找客服。

现在进入我们第一个受骗重灾区：DApp 授权。

DApp 过度授权风险

当用户在与某个 DApp 首次交互时需要进行授权，这其中就会存在隐患。如果该 DApp 此后遭遇攻击，将可以直接利用其权限盗取用户资产。用户在 DApp 合约里进行交易时，DApp 的页面会里有一个授权（Approve）的按键，用户必须要授权才允许进行交易，而这个授权就是 DApp 合约拥有转移你资产的权限，为了方便用当用户在与某个 DApp 首次交互时需要点击授权（Approve）按键进行授权，而这其中就可能存在隐患。DApp 开发者为了避免用户反复授权，一般会默认设置授权最大数量的代币给智能合约。但这样的处理也明显暴露风险，如果智能合约出现漏洞或合约管理员作恶，那么用户的代币将存在丢失的风险，这就是“DApp 过度授权”带来的问题。

Bitget Wallet （原 BitKeep）提示，用户在进行链上协议交互时不要过度授权，同时应定期对不常用的 DApp 取消授权，并注意防范欺诈者「换马甲」，以避免遭受资产损失。因此大家需要定期清理不常用的 DApp 权限或者设置代币转移数量的上限。

返收益类授权骗局

目前兴起一种返收益骗局：骗子假冒一个钱包的地址二维码，刷码进入后是模仿 Bitget Wallet （原 BitKeep）转账页面设计的假冒网站，骗子让你给转大概 0.01USDT 左右的金额，承诺会给用户每天 3% 的收益，只需要转账 0.01USDT 去确认你的地址。

实际当你在扫码进入假冒网站和转账，就无意中确认了骗子转走该币种的授权，骗子可以把你的余额全部盗走。这也是由于授权问题导致的资产被盗，只不过加了一个更加容易引人上钩的诱饵。那么，如何避免这类授权导致的资产损失呢？

Bitget Wallet （原 BitKeep）如何帮您防范授权风险

1.DApp 风险提示

Bitget Wallet （原 BitKeep）通过与第三方安全机构合作，接入 Github 开源库和 Go+ 接口来识别钓鱼网站。在用户访问 DApp 并打开未知链接时，Bitget Wallet （原 BitKeep）会检测网站域名是否在黑名单域名库中，如果属于钓鱼或风险网站，Bitget Wallet （原 BitKeep）会弹出安全提示，警告用户该网站存在风险，以免用户上当受骗。