本文来自币安安全合作伙伴 HashDit ，原文作者：Sebastian Lim

自去年起，加密诈骗案件就屡增不减。据 CNBC 报道， 2021 年，加密诈骗损失超过 10 亿美元，其中最常见的类型包括虚假投资和杀猪盘。而到了 2022 年，加密诈骗的手法更加让人眼花缭乱。

以下是 2022 年最常见的六种加密骗局。

 1. 网络钓鱼链接

网络钓鱼是 Web2 中骗子常用的一种手法。骗子创建一个恶意网站，然后大量发送链接给他们的受害者。在这里，我们将主要关注骗子窃取私钥的方法。

在 Web3 中，骗子通常通过不同的媒介将他们的钓鱼链接发送到 Web3 社区，如 Discord、Twitter、Telegram，甚至是链上。

钓鱼网站通常与真正的网站非常相似，但使用不同的 URL 名称。网站内容可能是新的 Giveaway 或 NFT 免费铸造，骗子利用投资者的 FOMO 心理将用户玩弄于股掌之中。

他们可以明目张胆地要求用户提供他们的助记词或私钥。例如，在社交媒体上联系用户，以钱包软件支持服务的身份联系用户，并以交易所支持的身份直接发送诈骗信息，窃取用户私钥。

另一种方法是，骗子会开发类似于 Metamask 等合法插件的 Chrome 扩展。通过模拟真实的应用程序，让用户放松警惕，提供自己的私钥来使用新应用程序。

骗子会试图让用户认为现有的应用程序有一个新的漏洞，并且有新的软件升级。如骗子试图让用户以为当前的 Metamask 版本存在漏洞，用户应该升级到新版本。然后在消息中宣称新的升级还没有完成，必须手动进行升级。随后，骗子会给出一组指令，诱骗用户提供 Metamask 密码，从而将其私钥暴露给骗子。

在这种情况下，用户应该继续等待 Metamask 的官方公告，并从官方来源升级他们的 Metamask 版本。

要升级扩展，只需转到 chrome://extensions/，单击更新按钮，如下图。

友情提醒：正常的应用程序升级不需要用户提供登录凭证等敏感信息。

 2. Ice-Phishing （空手套白狼）骗局

Ice Phishing 是一种欺骗用户签署交易的策略，攻击者可以控制用户的代币，但又不获取用户的私钥。这是网络钓鱼技术的新手段。

在某些背景下，当用户使用 DeFi 应用程序（例如 PancakeSwap）并与主代币标准（例如 ERC-20、ERC-721 和 ERC-1155 ）交互时，批准方法会显示在他们的 Metamask 窗口中。这是用户向第三方授权以代表该用户对这些代币进行操作的请求。之后，用户可以执行其他操作，如执行交易。

攻击者会将用户引导到钓鱼网站，诱使他们签署一些他们没有申请的交易。例如，交互的合约可能是攻击者的地址。一旦批准交易完成，攻击者就有权将代币从受害者的钱包中转出。

通常，诈骗网站有一种算法来扫描受害者的钱包，目的是检测有价值的资产，如昂贵的 BAYC NFT 或 wBTC/wETH 等加密货币。通常，网站会不断显示 Metamask 窗口，提示用户签署另一笔交易，即使他们可能已经签署了一次。

防止成为 Ice Phishing 受害者的另一种方法是远离签署 eth_sign（空白支票）交易。通常如图所示：

eth_sign 是一种开放式签名方法，允许对任意哈希进行签名，它可以用于对不明确的交易或任何其他数据进行签名，这是一种危险的网络钓鱼类型。

这里的任意哈希意味着对“批准”（approve）或“批准一切”（approve for all）等操作保持警惕还不够，骗子可以让你签署原生代币转移或合约调用等交易。骗子几乎可以完全控制你的帐户，而不用持有你的私钥。

尽管 MetaMask 在签署 eth_sign 请求时会显示风险警告，但当与其他网络钓鱼技术结合时，没有安全经验的用户仍有可能落入这些陷阱。

 3. Event 诈骗手法 & NFT Sleep Minting

Event 诈骗手法

Event 诈骗是骗子将随机的 BEP 20 代币转移给用户的策略，并提示用户与之交互。即使骗子是从 BscScan 等区块链浏览器转移代币，它也会显示资金来源来自一个单独的钱包，例如币安热钱包。然后，用户将被诱骗与这些新的“免费”代币进行交互，通过在代币名称或代码本身中显示链接，可以将用户引导到钓鱼网站。这是网络钓鱼技术的新手段。

这种方法利用了区块链浏览器显示 Event 的方式。

例如，这张来自 BscScan 的截图显示 CHI 从 Null Address 发送到地址 0x7aa3……