扫一下,输金额,确认,钱就走了。整个过程快到来不及犹豫,快到让人觉得加密货币的支付体验已经追上了支付宝和微信。但这种顺畅感是双面的——方便是真方便,出事的时候也是真的一点缓冲都没有。
扫码收付款的本质,是把一串人类肉眼无法校验的十六进制地址,压缩到一个二维码里。你扫的不是“对方的账户”,而是一串字符。这串字符在生成二维码之前有没有被改过、展示二维码的页面有没有被注入恶意脚本、二维码里嵌入的合约地址是不是你想要的那个币种——这些在你按下确认键之前,都值得花几秒钟想一下。
交易所扫码提币,被偷得最多的环节
中心化交易所的App基本都内置了扫码功能,提币的时候点一下扫码图标,对准另一个交易所的充值二维码扫过去,地址和网络自动填入。这个功能省去了复制粘贴地址的步骤,也在无形中把校验地址的责任全部转嫁给了扫码引擎。
问题在于,有些二维码不只是地址。它可能是一个经过包装的URL,跳转之后调起一个看起来和官方页面一模一样的钓鱼网站。也可能二维码本身嵌入了错误的网络前缀,比如你扫的是BSC链的充值码,但提币页面默认是ERC20,扫码后网络被自动切换,你没留意就直接提了——币打出去了,链对不上,找回来的过程够你喝一壶。
生成充值二维码的那个页面也未必安全。手机上截屏再被恶意App读取、网页端被浏览器插件篡改、公共WiFi下页面被注入替换,这些都不是什么高级黑客技术,很多现成的木马就能做到。你在交易所充值页面看到的那个二维码,和存进链上的那个地址,中间隔了几层你完全控制不了的软件栈。
一个值得养成的习惯是:扫码之后,别急着点确认。地址会自动填入输入框,用眼睛校验一下前五位和后五位,跟你预想中的目标地址是否一致。网络是否匹配。然后退回去,用复制粘贴的方式把地址发给一个可信的联系人或者自己的另一个设备,确认没有在传输过程中被篡改。这几步耗时不超过三十秒,换来的确定性却值六位数。
去中心化钱包之间扫码,场景不同风险不同
链上钱包之间的扫码转账,相对纯净一些。地址直接上链,没有中间服务器转发,二维码通常就是钱包生成的地址文本,不带多余信息。但这里有一个容易被忽视的点:很多钱包的“收款”页面会同时展示多条链的地址,扫码的人在扫完之后不会再次核对网络。对方给的是BSC地址,你用ERC20转过去,币到了对方手里,但网络不对,对方那边并不会自动显示这笔资产,得手动添加对应链的代币合约才能看到。
还有一种情况,扫的是合约地址。有些代币项目的收款码实际上嵌入的是代币的合约地址,而不是某个EOA钱包地址。你把币转进了合约地址,这笔钱大概率是永久锁死了——除非合约本身具备提款逻辑,但那属于极少数情况。看到二维码的第一反应,应该是判断它代表的是一个普通地址还是一个合约地址。区块浏览器上查一下,几十秒的事。
面对面扫码支付更需要注意物理安全。两个人见面,你扫我的码,付一笔USDT。对方给你展示的是他手机上的收款码,你有没有想过,他给你看的可能是提前截好的一张图,而他的钱包App早已切换到另一个界面?你付完款,他确认收到,然后说没收到——因为你扫的那张图属于另一个人,或者属于他已经不再使用的地址。不是信不过人,是这种支付方式本身缺少双向验证环节。只要付钱的人单方面扫码、单方面确认,收款方就有机会在展示环节做手脚。线下扫码支付最保险的做法,是你在自己手机上输入对方现场给你口述的地址,或者让对方现场刷新二维码,你看着他从钱包App里切到收款页面。
收款的陷阱不亚于付款
作为收款方,很多人觉得“反正钱是打进我地址的,我不扫码只生成码,不会有什么风险”。但这个想法忽略了一种攻击路径:地址替换恶意软件。
有些专门针对加密货币用户的手机木马,会在后台持续监控剪贴板和屏幕。一旦检测到你在某页面上生成了一个收款二维码,它会立刻把二维码里的地址替换成攻击者的地址,同时保持二维码的外观看起来没有任何变化。你把替换后的二维码发给付款方,对方扫了之后正常付款,币却进了别人的口袋。整个过程你完全无感,直到付款方把转账哈希发给你核对,你才意识到钱根本没进自己的地址。
这种攻击过去两三年在东南亚和拉美地区相当猖獗,受害者往往是OTC商家和频繁收款的自由职业者。防范方式只有一个:每次生成收款码之后,自己用另一台设备扫一下,看解析出来的地址是不是自己的地址。花不了几秒钟,养成习惯就是本能动作。
把扫码当成起点,而不是终点
扫码支付在传统移动支付里已经足够成熟,以至于人们对“扫一扫付钱”这个动作赋予了近乎盲目的信任。但传统支付背后有银行、有支付机构、有保险、有追回通道。链上支付没有这些,确认之后钱就属于私钥的控制方,没有客服,没有退款,没有冻结。
把扫码当成信息输入的起点——它只是帮你填了一个地址,剩下的校验工作必须由你的眼睛和大脑完成。时间久了你会发现,真正安全的操作方式,往往是那些看着最“慢”的动作。扫完之后停三秒,核五码,比扫完秒点确认的人,在币圈活得久。
免责声明:本文仅为加密货币转账操作的安全经验分享,不构成任何投资建议。
发表回复