新型加密骗局利用RC-2612标准耗尽用户钱包

近日，一种新型加密骗局在Telegram上流传，该骗局利用了ERC-2612标准，使得攻击者能够在不经过受害者确认交易的情况下耗尽其加密钱包中的资金。

据悉，该骗局专门针对符合ERC-2612代币标准的代币，该标准允许“无Gas”转账或通过不持有以太坊(ETH)的钱包进行转账。虽然此标准旨在简化转账流程，但它似乎也为诈骗者提供了新的机会。

一名用户向Cointelegraph报告称，在访问了他认为是某代币开发商OPNX的官方Telegram群组后，他失去了价值超过600美元的Open Exchange(OX)代币。然而，这实际上是一个网络钓鱼诈骗。

当用户进入该Telegram群组时，他被要求按下一个按钮以连接其钱包，以证明他不是机器人。这导致一个浏览器窗口打开，用户将钱包连接到该网站。用户认为仅仅连接钱包并不会对资金构成风险，然而几分钟后，他的OX代币就被全部转走了。尽管受害者声称从未批准过该页面的任何一笔交易，但他的资金仍然被盗。

经过调查，Cointelegraph发现该骗局涉及到一个假冒的Collab.Land Telegram验证系统。真正的Collab.Land系统从@collablandbot发送消息，而假冒版本则从@colIablandbot发送，其中使用了大写“I”而不是第二个小写“l”。此外，真正的Collab.Land消息上的“连接钱包”按钮将用户发送到URL connect.collab.info，而假冒版本则发送到connect-collab.info。

根据区块链数据，攻击者通过调用OX代币合约上的“transferFrom”函数来转移资金。通常，此函数需要所有者首先通过单独的交易调用“批准”并设置支出限额才能由第三方调用。然而，在这次骗局中，区块链数据显示没有证据表明受害者曾经进行过这样的批准。

大约在转账前1小时40分钟，攻击者在OX代币合约上调用“Permit”，将自己设置为“支出者”，将受害者的账户设置为“所有者”。他们还设定了许可证到期的“最后期限”或时间段，以及可以转移的代币“价值”或数量。这种设置使得攻击者能够在不欺骗所有者进行传统代币批准的情况下耗尽资金。然而，这也意味着攻击者确实欺骗了所有者签署了一条消息。

许可功能似乎是某些代币合约的新功能，作为ERC-2612标准的一部分实施。然而，这次骗局表明，诈骗者也在利用这一功能来诱骗用户捐出资金。Web3用户应该意识到，即使他们不进行批准交易，攻击者也有可能耗尽他们的资金，只要他们签署了一条赋予攻击者这种能力的消息。

在得知这一骗局后，Collab.Land团队向Telegram举报了该假冒群组。同时，Web3开发人员和用户也应提高警惕，确保在连接钱包或签署消息时保持谨慎，以避免成为此类诈骗的受害者。