一种新的加密货币骗局正在Telegram上流传，利用ERC-2612代币标准的“无需燃气转账”功能，允许攻击者在未经交易批准的情况下掏空用户的钱包。受害者被诱骗签署一条信息，从而允许攻击者在无需受害者批准交易的情况下转移资金。这种骗局已经导致了重大损失，一名用户报告称他的Open Exchange (OX)代币被盗了价值超过600美元。该骗局涉及钓鱼计划，将受害者引诱进入虚假的Telegram群组，并诱使他们将钱包连接到欺诈性网站上。攻击者利用ERC-2612标准的“许可”功能，可以在不持有以太币（ETH）和不经过传统交易批准流程的情况下转移代币。这一事件凸显了加密货币骗局日益复杂化的趋势，以及Web3用户需要提高警觉并加强意识的必要性。

根据用户报告和区块链数据，一种新的在Telegram上流传的骗局允许攻击者在不需要受害者确认交易的情况下，从受害者的加密钱包中转移资金。这种骗局只对符合ERC-2612代币标准的代币有效，该标准允许“无需燃料费”或者由不持有以太币（ETH）的钱包进行转账。虽然这种方法不需要用户批准交易，但似乎需要欺骗用户签署一条信息。随着越来越多的代币采用ERC-2612标准，这种特定类型的攻击可能会变得更加普遍。Cointelegraph接到一位用户的联系，他表示在访问他认为是代币开发者OPNX的官方Telegram群组时，他失去了价值超过600美元的Open Exchange（OX）代币。然而，那是一个钓鱼骗局。当他进入Telegram群组时，他被要求按下一个按钮来连接他的钱包，以证明他不是机器人。这打开了一个浏览器窗口，他将他的钱包连接到了该网站，相信仅仅连接不会对他的资金构成风险。然而，在几分钟内，他的所有OX代币都被转移走了。受害者声称他从未批准过该页面上的任何一笔交易，但他的资金仍然被盗。Cointelegraph访问了Telegram群组，并发现其中出现了Collab.Land Telegram验证系统的假版本。真正的Collab.Land系统从Telegram频道@collablandbot发送消息，其中的两个小写“l”拼写。而这个假版本则从@colIablandbot发送消息，其中的第二个小写“l”被替换成了一个大写的“I”。在Telegram用于用户名的字体中，这两个字母看起来非常相似。此外，真正的Collab.Land消息上的“连接钱包”按钮会将用户发送到URL connect.collab.info，其中不含有连字符，而这个假版本会将用户发送到connect-collab.info，其中有一个连字符而不是一个句号。相关：骗子利用新的“零价值TransferFrom”伎俩针对加密货币用户根据区块链数据，攻击者通过调用OX代币合约上的“transferFrom”函数来转移资金。在正常情况下，只有在所有者通过另一笔交易调用“approve”并设置一个支出限额后，第三方才能调用这个函数。区块链数据没有显示受害者曾经进行过这样的批准。在转账之前大约一个小时四十分钟，攻击者在OX代币合约上调用了“Permit”函数，将自己设置为“spender”，将受害者的账户设置为“owner”。他们还设置了一个“deadline”或者许可证过期的时间段，以及一个可以转移的代币数量。“value”被设置为一个任意大的数字。Permit函数位于代币合约的ERC20.sol文件的116-160行。它允许第三方在所有者提供授权的签名消息的情况下，代表其所有者转移代币。这个设置可能解释了为什么攻击者能够在不欺骗所有者进行传统代币批准的情况下转移资金。然而，这也意味着攻击者确实欺骗了所有者签署一条信息。在被面对这些证据后，受害者报告称他尝试第二次连接到该网站。这一次，他注意到有一个“额外的签名对话框”，他在第一次可能没有意识到的情况下确认了它。Permit函数似乎是一些代币合约的新功能。它作为ERC-2612标准的一部分被实施，该标准允许不持有ETH的钱包进行交易。Web3开发者OpenZeppelin这样描述了这个函数的目的：“[它]可以通过提供一个由账户签名的消息来改变账户的ERC20授权（参见IERC20.allowance）。通过不依赖IERC20.approve，代币持有者账户不需要发送交易，因此根本不需要持有以太币。”随着时间的推移，这个功能可以让钱包开发者创建只持有稳定币的用户友好钱包。然而，Cointelegraph的调查揭示了骗子也在利用这个功能来欺骗用户并夺走他们的资金。Web3用户应该意识到，即使他们没有进行批准交易，只要他们签署了一条给予攻击者这种能力的消息，攻击者就可以转移他们的资金。相关：苹果尚未删除假Rabby钱包应用，用户报告资金被盗Cointelegraph联系了Collab.Land团队以寻求评论。开发者确认，与真正的Collab.Land协议无关的机器人和网站参与了这次攻击。在被告知这个冒名顶替者后，项目开发者向Telegram举报了这个骗局。

新的加密货币诈骗在Telegram上利用ERC-2612标准无需批准即可清空钱包