警惕新型RPC节点劫持骗局：虚假余额背后的资产陷阱

查找币:余老师 | 漏洞披露 | 2026-05-09 21:50 | 1 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## 一、事件背景近期，查找币安全团队接到合作伙伴 imToken 的反馈，发现一种针对线下实物交易场景的新型加密货币骗局正在活跃。该骗局以 USDT 作为支付媒介，通过篡改以太坊节点的远程过程调用（RPC）接口实施欺诈，手法隐蔽且危害性极大。 ## 二、骗局全流程解析 ### 2.1 诱饵投放阶段骗子首先诱导目标用户下载正版 imToken 钱包，并主动转入 1 USDT 及少量 ETH 作为“诚意金”，以此获取用户信任。这种小额转账行为看似正常，实则为后续操作埋下伏笔。 ### 2.2 RPC节点篡改阶段在用户放松警惕后，骗子引导用户将钱包的以太坊 RPC 节点地址修改为以下恶意节点： ``` https://rpc.tenderly.co/fork/34ce4192-e929-4e48-a02b-d96180f9f748 ``` 该节点并非官方节点，而是骗子利用 Tenderly 平台提供的 **Fork 功能**创建的私有分叉环境。在该环境下，骗子可以任意操控链上数据。 ### 2.3 余额伪造阶段通过 Tenderly Fork 功能，骗子能够直接修改用户钱包中的 USDT 余额显示。当用户查看钱包时，会看到一笔虚假的到账记录，误以为骗子已支付款项。实际上，链上并未发生真实交易。 ### 2.4 资产收割阶段当用户试图将钱包中的 USDT 转出或变现时，会发现需要支付矿工费（Gas Fee）。此时用户才会意识到，钱包中的 USDT 余额是伪造的，而骗子早已消失无踪。 > **技术要点**：Tenderly Fork 功能不仅可以修改余额，还能篡改合约状态、交易历史等链上信息，对用户构成远超余额伪造的威胁。 ## 三、RPC机制风险剖析 RPC（Remote Procedure Call）是钱包与区块链网络交互的核心桥梁。用户通过钱包执行转账、查询余额、调用智能合约等操作时，实际上都是通过 RPC 节点与区块链服务器通信。 **风险链**： 1. 正常钱包默认连接官方或可信节点 2. 用户被诱导修改RPC链接至恶意节点 3. 恶意节点返回伪造的链上数据 4. 钱包显示虚假余额/交易状态 5. 用户基于虚假信息做出错误决策 ## 四、链上追踪分析查找币安全团队使用 **查找币追踪系统** 对已知受害者地址（`0x9a7…Ce4`）进行溯源分析，发现： - 受害者地址收到来自 `0x4df…54b` 的 1 USDT 和 0.002 ETH 小额转账 - 该行骗地址已向至少 **3个不同地址** 发起过相同模式的转账 - 进一步追踪发现，该地址与多个交易平台存在交互，且被查找币追踪系统标记为 **“Pig Butchering Scammer”**（杀猪盘诈骗者） **资金流向图**： ``` 行骗地址(0x4df…54b) ├── 受害者A (0x9a7…Ce4) ├── 受害者B (地址X) └── 受害者C (地址Y) ``` ## 五、安全防护建议 ### 5.1 用户端防护 - **切勿修改默认RPC节点**：任何要求修改钱包RPC链接的行为都需高度警惕 - **验证交易真实性**：通过区块链浏览器（如Etherscan）独立查询交易状态 - **拒绝线下USDT交易**：线下实物交易中要求使用USDT支付时，务必通过官方渠道验证 - **保持钱包默认设置**：不随意导入他人提供的网络配置或自定义节点 ### 5.2 技术检测手段 - 使用 `eth_call` 方法调用 USDT 合约的 `balanceOf` 函数，对比真实链上余额 - 检查钱包连接的 RPC 节点是否为官方节点列表中的地址 - 对可疑节点进行反向解析，确认其是否属于已知的测试网或分叉环境 ### 5.3 行业建议 - 钱包应用应增加 **RPC节点变更提醒** 功能 - 对非官方节点连接进行安全警告 - 建立恶意节点黑名单共享机制 ## 六、总结此类骗局的本质是 **利用用户对钱包显示的过度信任**。用户往往只关注余额数字是否增加，而忽略了数据来源的可信度。骗子正是利用这种心理弱点，通过小额转账和RPC劫持的组合手段实施欺诈。查找币安全团队提醒广大用户： 1. **链上数据不可篡改，但节点返回的数据可以伪造** 2. **任何要求修改钱包配置的行为都需警惕** 3. **交易前务必通过多个独立渠道验证链上状态** --- **本文由查找币安全团队整理发布**

警惕新型RPC节点劫持骗局：虚假余额背后的资产陷阱

查找币安全研究院

主题延伸阅读