Web3中的Payzero骗局会让受害者一无所有

我们会在本文讨论了一个Web3欺诈场景，诈骗者通过伪造的智能合约锁定潜在受害者，然后悄悄盗取受害者的数字资产，如NFT代币。我们把这个诈骗命名为“（Payzero）零支付”。

Web3是一个让诈骗者可以快速获利的平台，他们通过不同的在线资产货币化方法寻求快速获利。Web3与Web2的不同之处在于，它的用户既是数字资产的诈骗者，而且还是数字资产的所有者。Web3用户不再使用传统的用户和密码认证方式。相反，用户拥有一对加密密钥并对消息进行签名。然后，使用签名来验证和验证用户操作。

与Web2相比，这增加了新的复杂性，因为新的攻击模式和认证机制可能难以理解。在Web2中，用户可以使用用户名和密码向大型在线服务提供商进行身份验证。然后，这些公司可以覆盖针对第三方应用程序的身份验证过程，让用户负责记住他们为这些服务提供商使用的用户名和密码。

在Web3中，最重要的凭证（钱包地址的私钥）由用户拥有。用户必须自己处理这些身份验证场景，这可能是一个复杂的过程，尤其是对新上手的攻击者来说。下图从身份验证的角度比较了Web2和Web3。

Web 2和Web3身份验证模型的比较

用户很难，甚至几乎不可能记住他们的加密密钥，因此助记词(助记词更容易记住或准确地记录下来)被用于备份和重新创建加密密钥。

虚假WalletConnect网络钓鱼页面

助记词（seed phrase），这组词汇读起来感觉毫无连贯性而言，却可以转变成一把钥匙，打开数字银行账户，或者进行在线认证。助记词通常是人类可读的单词序列，可以被记住或写下来。由于加密密钥很难记住，因此使用这些助记词来恢复密钥。在加密货币的世界里甚至有一种说法——“不是你的钥匙，就不是你的钱”，指的是托管钱包的风险(当私钥由第三方管理时)。助记词与密钥本身一样重要，因为它们足以创建密钥的副本。

然而，与任何新技术一样，它的复杂性可能会导致几个隐藏的漏洞。例如，通过提供虚假WalletConnect接口来获取助记词的网络钓鱼已经变得非常普遍。有几个诈骗是围绕着助记词演变而来的，比如通过助记词网络钓鱼或收集窃取的钱包，还有就是包括使用多重签名钱包，诈骗者在论坛上发布助记词，向用户寻求帮助。这些助记词将成为网上用户的漏洞，他们天真地认为，只要使用这些短语，他们就可以轻易地接管诈骗对象的钱包。虽然他们可能会为了测试目的而尝试将盗取的资金电汇到这个钱包中，但只有多个(即多重签名)密钥的原始所有者能够控制资金并将资金汇出去，因此这些“测试资金”将被困在钱包中。

Web3中存在很多被滥用的可能性，随着诈骗者迅速适应Web3技术，防御者必须跟上不断发展的滥用场景。

接下来，我们想讨论一个Web3欺诈场景，诈骗者通过虚假的智能合约锁定潜在受害者，然后在不付钱的情况下接管他们的数字资产，如NFT代币。

本质上，Payzero是一种欺诈方案，攻击者通常不向受害者支付其数字资产的任何费用，只是诱骗他们允许转移代币所有权。

一个典型的Payzero诈骗场景如下所示：

买家：打算接管代币的诈骗者；

卖家：潜在的受害者。

新的代币所有者：它可以是买家，也可以是诈骗者指定的第三方。

代币：NFT代币，它可以是任何ERC721、ERC1155和ERC20代币。一次欺诈事件可能导致多个代币丢失。

Payzero诈骗示例

在正常交易中，卖家将代币放置在各种代币市场（如Opensea）进行销售。当买家与卖家接触时，交易通过平台的智能合约进行，将资金和代币的所有权转移给新的所有者。

链上（On-chain）与链下（off-chain）市场

在链下市场中，NFT代币的所有者持有代币的所有权，直到与所有者进行交易。与此同时，在链上市场中，代币所有者将代币的所有权转移到市场的智能合约中，然后进行交易。

链上NFT交易示意图

链下NFT交易示意图

诈骗交易场景

想象有这样一个场景，受害者在Opensea等标记处列出他的代币。在欺诈交易场景中，买家（诈骗者）通常使用社交媒体或社交平台（如Twitter或Discord）接近受害者，并要求卖家将代币出售给买家。

在早期版本的诈骗（称为“SetApprovalForAll诈骗”）中，诈骗者会建议通过第三方网站进行交易。当受害者同意交易时，诈骗者可以获得NFT代币的所有权，因为受害者调用智能合约API并给予诈骗者操作许可。

由于这种情况已经发生了一段时间，许多用户已经意识到了这种诈骗，当他们被提供通过第三方进行交易时，他们变得非常谨慎。一些钱包还实施了解决签名欺诈问题的措施，如下图所示。

将签名诈骗的攻击性降到最低的措施

在Payzero诈骗中，数字资产(NFT代币)的所有者只是“同意”以零成本将数字资产出售给新所有者。通过同意此交易，用户将免费签署转让代币所有权。

所有者向买家免费出售数字资产

通过在区块链上使用启发式规则，我们记录了2022年8月至12月潜在的代币盗窃事件的数量。下图显示了执行Payzero诈骗次数最多的地址。

执行Payzero诈骗次数最多的钱包

下图显示了这五个地址触发的诈骗事件。从2022年8月到12月，发生了3000多起Payzero诈骗事件，涉及5000多个NFT（NFT的总价格约为3000 ETH或约360万美元）。

2022年8月至12月PayZero诈骗事件数量

同时，下图显示了前十大被盗金额事件。

前十大被盗金额事件

诈骗者一直在关注Web3的趋势，并迅速适应技术的变化。许多地下论坛出售的服务可以根据客户的需求定制新技术，甚至可以自动处理滥用过程的几乎所有部分。由于涉及大量资金，盗窃密码密钥和助记词的工具在地下广泛交易。此外，正在开发特定的恶意软件变体以获取加密资产。

地下服务正在迅速发展，提供从钓鱼套件和被盗数据分析工具（旨在搜索加密货币资产）到可用数字资产的自动验证等各种服务。

助记词钓鱼网站开发服务

OpenSea钓鱼网站售价600美元

助记词本身是地下论坛中的可交易产品，许多服务都是围绕助记词的收集或分析构建的。例如，我们发现能够从不同文本源提取助记词的代码售价为800美元。

从地下论坛出售的文本中提取助记词的代码

还有一些服务为用户提供了通过传统滥用被盗凭证来搜索助记词的能力。然后从各种应用程序（例如，从iCloud Notes）获取这些信息。

从iCloud Notes中提取助记词和私钥

甚至还有一个名为Deepchecker的全面服务，专门为Web3证书的自动验证而定制。该服务允许用户使用提供的助记词检查和监控钱包余额，它验证了与加密货币资产相关的1000多个不同来源。

用于验证加密货币资产的余额和价值的Deepchecker服务

总结

Web3技术的用户在与Web3交互时，必须对其资产的安全性承担个人责任。在Web3上签署交易非常容易，但缺点是，未经仔细验证的一次性签署可能会导致灾难性后果和重大财务损失。

诈骗者通常通过第三方网站提供链下交易来锁定潜在受害者，在第三方网站上，他们可以诱骗用户签署合同，允许这些诈骗者接管受害者的数字资产。自从MetaMask钱包在技术上解决了SetApprovalForAll权限问题以来，诈骗者一直在使用新的方法来欺骗用户放弃其资产的所有权，例如本文中讨论的PayZero方案。

幸运的是，目前已经有了应对措施，例如，多签名钱包（需要两个或更多签名才能签署交易）可以潜在地消除泄露助记词的影响。然而，对于用户来说，理解Web3的关键风险仍然很重要，在非托管钱包所有权中，资产所有者在其整个生命周期内对其资产的安全负全部责任，而在托管资产中，用户不仅拥有其资产，还面临更传统的风险，如黑客攻击、欺诈甚至监管机构本身的崩溃等等。