在多起地址资金被盗事件发生后，不少用户都已经有了防范意识，通常不会泄露私钥，在下载区块链钱包及交易所时，也会到官网进行下载。但由于新用户一批批进入区块链，他们往往欠缺基础技术知识，对代码合约不甚了解，在参与 DeFi 项目或想要卖出空投代币时，往往会授权陌生合约，如果作恶者在合约中做文章，用户极可能损失地址中的所有资产。

那么，骗子是如何通过合约转移用户资产的？

区块链安全机构 PeckShield 告诉蜂巢财经，代币授权操作主要分为两步。第一步是授权交易，这一步操作是为了告知 ERC-20 Token 合约，将来目标合约地址可能会从授权钱包账户转走一定数量的代币；第二步是交易执行，当目标合约中的逻辑执行需要进行该代币交易时，合约会主动触发转走用户授权的代币。

以 Zepe.io 空投骗局为例，诈骗者会先创建代币并完成空投，并添加代币到 DEX 中增加流动性，使代币具有价值。一些用户看到账户中出现了「有价值」的空投币后，就想去 DEX 进行兑换，而这一步的授权交易通常都会失败，但失败后会有 error 提示用户去它的官网兑换，陷阱就在此时出现，当用户在指定页面授权交易后，其账户中的价值币就会被转走。

PeckShield 表示，类似的空投骗局有一个主要的共同特征，即代币名字大多是网站地址，如 ShibaDrop.io、AirStack.net、BNBw.me 等，当用户接收到类似的代币，就需要加以防范。该安全机构提示，用户在进行链上协议交互时不要过度授权，比如授权代币交易时可以设置指定数量而不要设置最大数量。同时，用户应定期对不常用的 Dapp 取消授权，并注意防范欺诈者「换马甲」。

对于链上用户来说，区块链网络是一个相对自由但也充斥风险的世界。用户需切记掌管好私钥，避免因贪婪轻易授权陌生合约造成资产损失。记住，「天上不会掉馅饼」这句老话在区块链世界里同样适用。