近期,不少用户反映钱包自动转账,但每次转账金额都是0 USDT,他们非常惊慌,询问我们钱包是否被盗。
事实上,这是一种非常常见的骗局,攻击者利用 EVM 代币合约固有的漏洞进行恶意转账。不用惊慌,你的钱包还是安全的,不用理会。
例如,受害者A在正常交易中向B发送了500 USDC后,一段时间后他会从C(黑客)那里收到0 USDC,同时用户A自己也会在同一个交易哈希中失控地将0 USDC转给C,实现0 USDC转账。
原因是代币合约的 TransferFrom 函数不会强制授权转账金额大于 0,因此可以从任何用户账户向未授权账户发起 0 USDC 转账,而不会失败。恶意攻击者利用这一情况,不断对链上活跃用户发起TransferFrom操作,以触发转账事件。
此类攻击事件在 EVM 和 TRON 链中都存在。请仔细核对并复制正确的转账地址,避免资产损失。
同时,UKey 正在研究一些反欺诈设计,以避免有害的垃圾邮件并保护您免受欺诈。