imToken钱包安全知识：假二维码案例详解

近期有不少用户反馈出现了假冒 imToken 收款的二维码，扫码后会跳转至第三方网站，在骗子的诱导下于第三方网站发起转账并授权，最终导致资产丢失。

假收款二维码骗局

如何区分真假转账页面避免受骗？

请注意，扫描收款码后应直接跳转转账页面，若扫码后出现第三方 DApp 访问提示，说明收款码已被替换，扫码后访问的是诈骗网站。

区分真假转账页面的另一个办法，是查看页面右上角的图标。骗子制作的转账页面右上角为「···」和「X」的图标，imToken 钱包内的原生转账页面右上角是二维码扫描的图标。

左：骗子仿冒 Tokenlon 的授权页面；右：真转账页面

当然，在你无法确定收款方是否可信时，还有一个相对麻烦但更保险的办法：让对方直接提供收款钱包地址（而不是二维码），在确认转账前认真核对收款地址和转账金额。

钱是如何被偷走的？

以上图为例，在真页面发起转账时，你看到的是 USDT 收付款地址、数额等详情的转账确认页，并不涉及其他内容。
而在假页面发起转账时，你会收到一个转账授权的提醒。若点击确认，骗子将获取到转走你钱包中对应代币的权限。虽然假页面中显示的是 USDT 转账，但骗子实际骗取的是 LON 的转账权限。

imtoken.godnest.club 申请 LON 转账授权

imtoken.godnest.club 是骗子制作的假 DApp 名称，一旦确认授权，骗子即可转走该钱包地址中所有的 LON。

地址的所有者拥有资产的转账权限，当我们将 100 LON 的转账权限授权给其他地址，那么该其他地址就获得了 100 LON 的转账权限。当我们将代币转账授权的数量设置为 unlimited（无限） 时，获得授权的地址即可获取该代币最大额度的转账权限。

你的代币转账权是否外泄及如何应对？

地址里的代币转账权，除了你自己拥有还有谁？如果你也一头雾水的话，可以查查看

1、复制你的钱包地址，然后在 imToken 浏览页面搜索打开「审查授权合约」。

2、在搜索框中粘贴钱包地址，点击 进行查询。Approved Spender 即拥有代币转账权的地址，Approved Amount 下方显示信息为该地址拥有转账权的代币种类和数量。

在上图最右侧的截图中，我们可以看到 Approved Spender 下方显示有 Uniswap、SushiSwap 等。这是因为当我们在 Uniswap、SushiSwap 和 Tokenlon 等 DEX 中交易时需要先进行代币转账授权，其目的是让 DEX 获得代币的转账权限，方便完成后续的代币兑换。

但如果你发现 Approved Spender 这一列有不明地址，并且你自身也不了解该地址的控制方，那么这很有可能是骗子地址。请立刻取消授权，同时，为了更好地保障资产安全，我们建议你在 imToken 中创建一个新钱包并将资产进行转移。