🚫警惕新型盜幣方式

近期在電報社區中遇到聲稱TokenPocket官方搞的迴響福利活動，大致內容是持有一定數量的USDT就可以打開項目方提供的鏈接，自動獲得一定數量的LKC代幣，按照一定的比例可以兌換的到TRX代幣，所謂的官方客服給出的解釋是【就像银行搞存款活动送礼物一样，存款越多，送的礼物价值就越大，存放的USDT不需要转出解锁，是一直存放在您的钱包内的，兑换完成，TRX到账后随时都可以卖出】，那麼今天就來體驗下這麼“給力”的活動。

社區觀察和互動情況

社區現在有8k+人，不過社區並不活躍，從群置頂的活動情況來看，確實是力度夠大，內容如下：

官方人員還貼心的將LKC空投和普通的approve授權進行了對比，使用的依然是TP錢包。

通過官方人員的說明，好像LKC空投確實是物有所值，又安全空投力度又大，那麼我們通過加提供的鏈接來一探究竟。

錢包實際測試

根據上面解鎖提示的內容，USDT持有越多就可以解鎖更多的LKC代幣，那麼我直接找來了幣安交易所的USDT持幣地址來加入觀察錢包測試：

打開鏈接，看到可以獲得50000個LKC代幣，點擊Sell All 頂部提示資產不足，奇怪USDT足足夠夠的，乾脆直接手工填入兌換，LKC欄裡填入50000，trx根據比例自動顯示，點擊Swap Now，還真彈出了授權窗口，難道是有BUG了？（后經過測試，新建的沒有資產的錢包也可以正常調用swap和，是否持有usdt無任何關係）

授權界面引起了我的警覺，我在swap界面操作的是LKC兌換TRX，這裡提示的是transfer（轉移）的命令，那麼為什麼會出現USDT的合約地址呢，執行操作的是轉移這個和approve的提示還是很不相同的，雖然這裡只是懷疑，並沒有實際證據，因為沒有LKC的合約地址，也沒有被盜人提供的哈希值。

不入虎穴焉得虎子，我新註冊了一個波場錢包，轉入10trx和0.1usdt來做測試，以便分析盜幣數據

打開鏈接並執行Swap，輸入密碼完成授權，看到了頂部成功的提示：

執行成功了，那麼我們來看下我的0.1usdt是否還在？

果然被轉出了，真是大小通吃呀，通過查看盜幣地址在鏈上的數據

https://tronscan.io/#/address/TN3AHLUASRawWd3xYjn1wHhYoyGVeuKPfh/transfers

有了大額的就會歸集到另一個地址裡，這種新型的詐騙方式想想都讓人害怕，對方是在代碼中先檢測用戶的地址，先查地址有多少U，然后當我們點擊swap now的時候就會自動設置轉出全部usdt的數額（transfer-轉移的命令），當用戶授權後usdt就被用戶自己轉移出去，這種盜幣方式要比approve更直接和更隱蔽。

所以当我们在执行操作的时候一定要查看授权【合约地址】，看地址是否是代币的合约地址，尤其是USDT的合约地址：TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t 一定要谨慎。

筆者已經將這個新型盜幣方式通報給了TokenPocket官方人員，對方表示會針對新型盜幣的特性來進行相對應的安全防範，希望盡快能更新到新產品裡，不然這種盜幣方式氾濫，將會有更多的受害者被騙，後續也會發展到BSC等比較火爆的公鏈上。

再次提示大家，在錢包中切记不要访问不明来路的链接（私钥、助记词钓鱼等），也不要访问不安全的空投网站，以防Approve钓鱼陷阱；使用扫码转账要注意观察操作界面是否异常，谨防骗子更换二维码来进行诈骗。（TokenPocket新版本中对转账、收款和扫码操作增加安全提示，欢迎更新体验。）

TokenPocket官網唯一電報社區： https://t.me/tokenpocket_cn 其他任何電報社區均為假社區。

加入電報社區要注意：任何主動私聊的都是騙子，請一定做好自己，堅定自己的力場不要隨意使用對方給的連結，或者索取私密金鑰助記詞等行為。