一種新的加密貨幣騙局正在Telegram上流傳，利用ERC-2612代幣標準的“無需燃氣轉賬”功能，允許攻擊者在未經交易批准的情況下掏空用戶的錢包。受害者被誘騙簽署一條信息，從而允許攻擊者在無需受害者批准交易的情況下轉移資金。這種騙局已經導致了重大損失，一名用戶報告稱他的Open Exchange (OX)代幣被盜了價值超過600美元。該騙局涉及釣魚計劃，將受害者引誘進入虛假的Telegram羣組，並誘使他們將錢包連接到欺詐性網站上。攻擊者利用ERC-2612標準的“許可”功能，可以在不持有以太幣（ETH）和不經過傳統交易批准流程的情況下轉移代幣。這一事件凸顯了加密貨幣騙局日益複雜化的趨勢，以及Web3用戶需要提高警覺並加強意識的必要性。

根據用戶報告和區塊鏈數據，一種新的在Telegram上流傳的騙局允許攻擊者在不需要受害者確認交易的情況下，從受害者的加密錢包中轉移資金。這種騙局只對符合ERC-2612代幣標準的代幣有效，該標準允許“無需燃料費”或者由不持有以太幣（ETH）的錢包進行轉賬。雖然這種方法不需要用戶批准交易，但似乎需要欺騙用戶簽署一條信息。隨着越來越多的代幣採用ERC-2612標準，這種特定類型的攻擊可能會變得更加普遍。Cointelegraph接到一位用戶的聯繫，他表示在訪問他認爲是代幣開發者OPNX的官方Telegram羣組時，他失去了價值超過600美元的Open Exchange（OX）代幣。然而，那是一個釣魚騙局。當他進入Telegram羣組時，他被要求按下一個按鈕來連接他的錢包，以證明他不是機器人。這打開了一個瀏覽器窗口，他將他的錢包連接到了該網站，相信僅僅連接不會對他的資金構成風險。然而，在幾分鐘內，他的所有OX代幣都被轉移走了。受害者聲稱他從未批准過該頁面上的任何一筆交易，但他的資金仍然被盜。Cointelegraph訪問了Telegram羣組，並發現其中出現了Collab.Land Telegram驗證系統的假版本。真正的Collab.Land系統從Telegram頻道@collablandbot發送消息，其中的兩個小寫“l”拼寫。而這個假版本則從@colIablandbot發送消息，其中的第二個小寫“l”被替換成了一個大寫的“I”。在Telegram用於用戶名的字體中，這兩個字母看起來非常相似。此外，真正的Collab.Land消息上的“連接錢包”按鈕會將用戶發送到URL connect.collab.info，其中不含有連字符，而這個假版本會將用戶發送到connect-collab.info，其中有一個連字符而不是一個句號。相關：騙子利用新的“零價值TransferFrom”伎倆針對加密貨幣用戶根據區塊鏈數據，攻擊者通過調用OX代幣合約上的“transferFrom”函數來轉移資金。在正常情況下，只有在所有者通過另一筆交易調用“approve”並設置一個支出限額後，第三方才能調用這個函數。區塊鏈數據沒有顯示受害者曾經進行過這樣的批准。在轉賬之前大約一個小時四十分鍾，攻擊者在OX代幣合約上調用了“Permit”函數，將自己設置爲“spender”，將受害者的賬戶設置爲“owner”。他們還設置了一個“deadline”或者許可證過期的時間段，以及一個可以轉移的代幣數量。“value”被設置爲一個任意大的數字。Permit函數位於代幣合約的ERC20.sol文件的116-160行。它允許第三方在所有者提供授權的簽名消息的情況下，代表其所有者轉移代幣。這個設置可能解釋了爲什麼攻擊者能夠在不欺騙所有者進行傳統代幣批准的情況下轉移資金。然而，這也意味着攻擊者確實欺騙了所有者簽署一條信息。在被面對這些證據後，受害者報告稱他嘗試第二次連接到該網站。這一次，他注意到有一個“額外的簽名對話框”，他在第一次可能沒有意識到的情況下確認了它。Permit函數似乎是一些代幣合約的新功能。它作爲ERC-2612標準的一部分被實施，該標準允許不持有ETH的錢包進行交易。Web3開發者OpenZeppelin這樣描述了這個函數的目的：“[它]可以通過提供一個由賬戶簽名的消息來改變賬戶的ERC20授權（參見IERC20.allowance）。通過不依賴IERC20.approve，代幣持有者賬戶不需要發送交易，因此根本不需要持有以太幣。”隨着時間的推移，這個功能可以讓錢包開發者創建只持有穩定幣的用戶友好錢包。然而，Cointelegraph的調查揭示了騙子也在利用這個功能來欺騙用戶並奪走他們的資金。Web3用戶應該意識到，即使他們沒有進行批准交易，只要他們簽署了一條給予攻擊者這種能力的消息，攻擊者就可以轉移他們的資金。相關：蘋果尚未刪除假Rabby錢包應用，用戶報告資金被盜Cointelegraph聯繫了Collab.Land團隊以尋求評論。開發者確認，與真正的Collab.Land協議無關的機器人和網站參與了這次攻擊。在被告知這個冒名頂替者後，項目開發者向Telegram舉報了這個騙局。

新的加密貨幣詐騙在Telegram上利用ERC-2612標準無需批准即可清空錢包