深圳零时科技有限公司（简称：零时科技），公司成立于2018年11月，是一家专注于区块链生态安全的实战创新型网络安全企业。团队扎根区块链安全与应用技术研究，结合丰富的安全攻防实战经验和人工智能数据分析处理，为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯以及企业级区块链应用创新解决方案。

现在，零时科技区块链安全100问已正式上线。通过通俗易懂的语言，为大家讲解区块链行业知识和区块链应用中存在的安全问题，让更多人了解区块链及其安全性。

前言

当前区块链技术和应用正处于快速发展的初级阶段，面临着多种多样的安全风险。从区块链生态应用的安全，到智能合约安全、共识机制安全和底层基础组件的安全性，安全问题分布广泛且危险性较高。这对生态体系、安全审计、技术架构、隐私数据保护和基础设施的全局发展提出了全新的考验。

PART01-黑客们是如何窃取钱包资金呢?

“伪装客服骗取私钥”

1. 攻击者伪装为客户潜伏在社群中 2. 当有用户出现转账或者提取收益求助时，攻击者及时联系用户协助其处理 3. 通过耐心的解答，发送伪装的专业工单系统，让用户输入助记词解决其交易异常 4. 攻击者拿到私钥后盗取资产，拉黑用户

“扫描恶意二维码被盗”

1. 攻击者将预先准备好的恶意二维码发送给用户； 2. 攻击者诱导用户使用钱包扫描二维码进行小额测试转账； 3. 用户输入小额或者指定金额后，确认转账交易（实际运行的是用户approve授权给攻击者USDT的过程）； 4. 随后用户钱包大量USDT丢失（攻击者调用TransferFrom转走用户USDT）。

“贪小便宜，随意领取空投被盗”

1. 攻击者伪造成各种交易平台、DeFi、NFT等区块链项目； 2. 攻击者通过媒体社群发起可明显薅羊毛的空投活动； 3. 攻击者诱导用户使用钱包扫描二维码领取空投； 4. 用户扫码后点击领取空投（其实也是用户approve授权给攻击者USDT的过程）； 5. 随后受害者账户大量USDT被转走（攻击者调用TransferFrom转走用户USDT）。

“在线云平台账号被盗”

多数人将秘钥/助记词通过截屏、拍照或者拷贝粘贴，然后同步保存在云端。攻击者会通过攻击这些云端平台账号，从而盗取私钥/助记词。目前零时科技安全团队已经收到大量用户反馈称将私钥/助记词保存在网盘或者笔记中，由于平台账号被盗，导致钱包资产被盗。

“热钱包服务器被攻击”

很多区块链应用都会使用热钱包，其中存有大量数字资产。由于热钱包服务器未进行安全加固或者运维不当，安全意识缺失，导致热钱包服务器被黑客攻击，进而导致热钱包中的数字资产被盗，甚至通过热钱包服务器作为跳板