致TP钱包用户的三大安全提示,TP钱包恶意授权的危害-链视界

来自: TokenPocket

致TP钱包用户的三大安全提示,TP钱包恶意授权的危害

毫无疑问，对所有加密用户来说，确保加密资产安全非常重要！用户拥有链上资产的所有权和支配权，这就对用户的使用安全提出了较高的要求。所以请您务必加强钱包使用的安全知识和反诈意识。

永远不要泄露私钥和助记词

在您创建钱包时会提醒您备份好助记词，助记词只会存储在您的本地设备上。请注意，助记词和私钥是恢复钱包和管理链上资产的唯一凭证。

如果他人获取了您的助记词和私钥，他们就可以在未经您通知和允许的情况下直接转移您的资产。

骗子通常会通过邮件、短信和其他网络平台联系到你，他们会宣称自己是TokenPocket的官方人员或其他项目的管理人员，声称能够帮助您解决当前遇到的问题，并向您索要助记词和私钥以 “验证” 您的钱包。

请牢记，主动私聊您的都是骗子！永远不要向任何人泄漏您的助记词和私钥！

保存助记词和私钥的最佳方法：

1.抄写在纸上备份，多次检查以确保抄写的助记词准确无误；

2.用KeyPal硬件钱包或者助记词钢板保存钱包助记词；

3.保存在其他离线安全的地方。

“不要做”以下事情：

1.不要向任何人共享助记词和私钥！

2.不要把助记词和私钥通过网络传播或保存！

日常转账操作要谨慎

“转账”是钱包使用过程中最基础和常用的操作。“转账”的三大基本要素是“矿工费”、“转帐网络”以及“收款地址”。一旦在链上成功执行的操作是无法撤回或者冻结的，所以我们使用收款地址时要多次核对并做好转账通道的确认。

打开TokenPocket需要操作的地址，点击收款，查看顶部的网络通道，无论是转账或者提取资产时，都要使用相同的通道才可以顺利到账。请务必记牢，不同公链是独立的，直接转账无法到账。

转账前必做事项：

1.检查收款地址，并确保这是您需要转账的正确收款地址；

2.检查转账网络，只能同链转账；

3.检查钱包余额，确保有足够的矿工费。

“不要做”以下事情：

1.不要转账到合约地址；

2.不要跨链转账；

3.不要转账到来历不明的钱包地址。

随意授权风险极大

Approve即授权。它允许持有Token的用户，通过调用Approve方法，授权给指定账户一定额度，赋予该账户自由支配额度内Token的权力。如果授权给恶意账户，那么授权资产就会被全部盗取而无需告知。

骗子通常会利用第三方链接宣传高收益或者空投Token兑换的方式来诱导用户参与他们的恶意链接，当用户访问链接调用合约并完成授权后，Token的控制权将被分享给授权的恶意地址，并丢失授权的Token。

使用DApp浏览器打开第三方链接，请务必确定链接有足够的安全认证或审计后再考虑是否参与，请认真查看DApp浏览器给出的风险提示。

“不要做”以下事情：

1.不要使用来历不明的链接并授权；

2.不要相信宣称“高收益”的项目；

3.不要相信免费的空投兑换活动。

案例解析：恶意授权的危害

日常使用第三方DApp都是通过DApp浏览器打开使用。使用三方链接会弹出风险提示，这里是提示确认使用的链接安全性，如果无法确认安全那么一旦授权后有很大的被盗风险。

今天的案例就来自于一个号称TokenPocket空投的骗局，打开链接后可以看到整个DApp的制作比较精致，说明中有关于活动的介绍，只需要点击【Join Aridrop】并授权就可以得到空投的Token，而实际上是为了骗你的授权，然后转走你所有授权的Token。

点击【Join Aridrop】会自动调用钱包授权，首先弹出的是【即将执行授权操作】这里就需要引起高度注意，点击下一步来到了【详情】界面，在这里可以看到【授权地址】的合约地址在申请Token的转账授权权限，到这里就应该停止操作，一个普通的空投为什么要调用不相干Token的授权？如果没有信任钱包弹出的层层风险提示去执行了授权，那么就会导致所有的授权Token被盗。