什么是虚假交易模拟?
虚假交易模拟是另一种让毫无戒心的加密货币用户掏空钱包的威胁。诈骗者制造出加密货币交易成功的假象,但实际上并没有进行区块链转账,这种行为又被称为交易模拟欺骗。
诈骗者使用虚假交易模拟器来欺骗受害者,通过提供永远不会到达区块链的虚假交易。为了使欺诈行为看起来真实,模拟器会修改钱包界面并生成欺骗性通知和伪造的交易历史记录。模拟器可以是网站、恶意浏览器扩展、机器人、移动应用程序或智能合约。
虚假交易模拟器的受害者认为他们已经收到了资金,但实际上并没有资金转移。据 ScamSniffer 于 2025 年 1 月 10 日报道,发现了一个交易欺骗模拟,骗子成功窃取了 143.45 个以太币
随着诈骗者利用虚假网站和平台模拟加密货币交易,网络钓鱼攻击变得越来越普遍。根据《2024 年加密货币网络钓鱼报告》,钱包流失网络钓鱼攻击在 2024 年激增,损失飙升至 4.94 亿美元,比上一年增长了 67%。受害者数量也在增加,受影响的地址有 332,000 个,比 2023 年增长了 3.7%。这些令人震惊的数字凸显了加密货币网络钓鱼策略的日益复杂化。
使用虚假交易模拟窃取 143.45 ETH
你知道吗? 2024 年第三季度,币安因网络钓鱼诈骗遭受了重大损失,达到 1.27 亿美元。为了应对这一情况,币安采取了多项举措加强了安全措施,包括自定义弹出警报以警告用户可疑活动、已知恶意地址的数据库和用户教育计划。
虚假交易模拟如何运作?
加密货币钱包中的交易模拟功能使用户能够在执行交易之前查看交易结果。该功能旨在帮助用户了解资产在区块链上的流动情况。他们可以深入了解平台的易用性、潜在缺陷和相关费用。这些模拟现在被不良行为者用来制造虚假交易。
诈骗者已经发现了利用加密钱包中的交易模拟的方法,利用模拟和执行之间的延迟。恶意智能合约和专门设计的钓鱼网站可以利用此漏洞欺骗用户。
钓鱼网站可能会诱骗用户签署看似无害的交易。例如,用户可能会被提示“认领”一笔小额 ETH 转账,钱包模拟会显示最小金额,例如 0.000...0001 ETH。然而,攻击者会在后台操纵合约状态。当用户签署交易时(通常在几秒钟内),合约会执行完全不同的功能,彻底掏空钱包。
以上述案例(被盗 143.45 ETH)为例,诈骗者利用延迟窗口实施诈骗,钓鱼网站在执行前修改合约状态,当受害者在不知情的情况下签署交易时,“认领”功能执行了诈骗者的计划,钱包在模拟过程中看似安全,但在执行时却被全部掏空。
虚假交易模拟中的利用机制
虚假交易模拟中使用的技术策略
诈骗者使用伪造的交易记录、操纵的区块链浏览器和Telegram 机器人和虚假交易生成器等专用工具来伪造转账。他们创建虚假的交易 ID、时间戳和钱包地址,或将虚假数据注入受感染的浏览器以模仿真实的转账。
诈骗者还可能操纵钱包显示以显示不存在的交易,欺骗用户相信他们已经收到了资金。恶意软件(例如假冒应用程序和浏览器扩展程序)可以改变用户在钱包中看到的内容。诈骗者可能会拦截和修改实时交易数据,创建看似真实的虚假确认。他们使用的另一种策略是利用钱包软件漏洞来显示虚假余额和转账。
生成虚假交易事件的恶意智能合约在区块链浏览器上发布“转账成功”日志,诱使用户认为已经收到资金,但实际上并未发生转账。
你知道吗?网络犯罪分子每天会发送约 34 亿封钓鱼电子邮件,伪装成来自可靠来源的合法信件。这意味着每年有超过一万亿次钓鱼尝试。
使用社会工程学模拟虚假交易
诈骗者利用社交工程手段迫使受害者匆忙行动,落入为他们设下的陷阱。他们通过虚假的限时优惠、虚假的网络拥堵警告和倒计时来制造紧迫感,迫使用户在未经适当验证的情况下确认交易。他们将技术欺诈与心理操纵相结合,为诈骗设置了强大的工具。
为了误导用户,诈骗者可能会模仿真实的交易所和钱包,旨在诱使用户陷入欺诈交易。例如,诈骗平台可能会显示警告,如“费用折扣仅三天 - 赶快交易!”,促使许多用户急于完成他们想要的交易。
诈骗者利用信任和情感,让他们的恶意网站看起来更加令人信服。他们通过虚假的投资机会、独家交易和巨额利润承诺引发错失恐惧症 (FOMO)。一种常见的策略包括入侵社交媒体上的名人资料,尤其是 X 账户,发布虚假帖子吸引用户访问他们的网站。例如,他们可能会在 X 上发帖,声称用户收到了大量空投,但最终将他们重定向到一个窃取其加密货币的网站。
网络钱包如何处理虚假交易模拟?
为了打击虚假交易模拟,网页钱包必须实施多项安全措施来增强对用户的保护。这些措施包括实时模拟刷新机制、安全服务集成和 UI/UX 改进。通过这些策略,网页钱包可以显著降低与虚假交易模拟相关的风险,为用户提供更安全、更透明的体验:
实时模拟刷新机制: Web 钱包需要建立一种根据区块链区块时间动态调整刷新率的机制。它们应该显示时间戳和区块高度以提高用户意识,并对过时的模拟发出到期警告。
安全服务集成: Web 钱包应整合主要安全服务提供商的网络钓鱼合约黑名单。对合约地址进行实时安全检查是应对此类攻击的任何策略的重要组成部分。
UI/UX 改进:明确指示模拟结果的时间敏感性有助于减少欺诈事件。Web 钱包需要为高风险交易引入额外的确认步骤。提供交易风险分析的快速视图并简化安全警报可以帮助用户更好地了解潜在威胁。
你知道吗? Chainalysis 的一份报告显示,与 2024 年相比,2025 年被盗资金预计将增加 21%,损失主要集中在去中心化金融 (DeFi) 平台。这一趋势可能导致 2025 年价值 22 亿美元的加密货币被盗。
虚假交易模拟器的危险信号
虚假交易模拟器会诱使用户相信他们已经收到了加密货币资金,但当他们尝试使用这些资金时,资金就会消失。危险信号包括不切实际的存款确认、缺乏区块链验证以及进一步付款的压力。在评估加密货币平台时,您需要警惕以下警告信号:
缺乏透明度:合法平台是透明的。您必须对那些隐瞒团队成员、公司历史或运营细节的平台保持警惕。
好得令人难以置信:过于专业的界面和不切实际的回报和零风险投资的承诺通常是欺诈平台的标志。
声誉不佳:如果某个平台持续出现负面的用户评论和有关诈骗的投诉,您就需要考虑它们。
政策不明确:可靠的平台会全面提及服务条款和隐私政策。政策模糊或缺失是一个危险信号。
市场操纵:在没有任何相应新闻或事件的情况下,交易量出现无法解释的激增或价格剧烈波动可能表明存在操纵。
如何防范虚假交易模拟器
虚假交易模拟器构成重大威胁。这些欺骗性工具可以模仿合法交易,导致欺诈、数据泄露和声誉损害。了解这些模拟器的运作方式并实施有效的预防措施对于保护您的业务和客户至关重要。以下是您可以减轻与虚假交易模拟器相关的风险的方法:
验证一切:确认之前请仔细检查所有交易细节——收件人地址、金额和 gas 费用——因为区块链交易是不可逆的。
明智选择:仅使用经过第三方安全审核并提供双因素身份验证(2FA)和冷存储等安全措施的知名钱包和交易所。
警惕“免费”优惠:对未经请求的“免费代币”优惠要谨慎,尤其是那些需要钱包连接的优惠。
智能合约安全:与智能合约交互时,使用区块链浏览器或可信平台来验证其合法性和安全审计。
独立验证:使用Etherscan或BscScan等区块链浏览器独立验证交易细节,而不是仅仅依赖于可操纵的钱包或交易所界面。
坚持使用可信赖的 DApps:仅使用具有透明团队、开源代码和积极安全评论的去中心化应用程序 (DApps) 。
更新软件:定期更新软件和设备以修补安全漏洞。使用强密码,避免从不受信任的来源下载软件。
随时了解最新信息:了解常见的加密货币骗局。关注安全更新,与信誉良好的社区互动,并从过去的欺诈案例中吸取教训。
如果您成为虚假交易模拟的受害者,该怎么办?
如果您已成为欺诈性交易模拟器骗局的受害者,请迅速采取行动,避免进一步损失。向发生骗局的平台发出警报。通知您的网络——朋友、加密社区和在线论坛——以防止进一步的欺骗案件。
记录所有证据,包括截图、交易数据和诈骗者短信。向相关部门举报诈骗行为,例如网络犯罪部门、金融监管机构或区块链平台。如果您与诈骗者共享钱包访问权限或私钥,请立即将剩余资金转移到安全的钱包,以避免进一步损失。
如果您损失了大量资金,请致电区块链取证专家来追踪交易,尽管恢复可能很困难。
