使用二维码转币非常方便，但要注意丢币

本文作者为比特币钱包 ZenGo 团队。 在计划为钱包添加二维码功能的过程中，他们发现网上很多二维码生成网站都存在问题，用户在使用这些网站生成的二维码时会丢币。

前言：本文作者为比特币钱包ZenGo团队。 在计划为钱包添加二维码功能的过程中，他们发现网上很多二维码生成网站都存在问题比特币二维码生成器，用户在使用这些网站生成的二维码时会丢币。 因此，ZenGo团队分析了一些常见的作弊手段，希望能给用户提个醒。

很快，我们将在 ZenGo 钱包中添加二维码功能。 为此，我们对二维码进行了深入研究。

与往常一样，我们还研究了此功能的安全性，并发现了一些与 QR 相关的欺诈活动。 我们想知道这是否是一种普遍现象，令人惊讶的是，当我们用谷歌搜索时，前 5 个结果中有 4 个指向欺诈网站。

这些网站生成二维码后，会建立一个被骗子控制的地址，而不是用户自己设置的地址，这样通过二维码的所有资金都会流向骗子。

为了保护用户资金，我们与多家威胁情报供应商分享了我们研究的技术细节。

（谷歌搜索结果显示：排名第二和第三的网站存在欺诈）

币圈二维码

根据 cryptocurrencyfacts.com：二维码是在两个设备之间传输加密货币时共享地址的一种简单、快速和安全的方式。 这在面对面的 pos（零售销售点）交易中特别有用，因为复制粘贴地址是不切实际的，并且这种方式避免了手动输入复杂地址的风险（如果您输入错误的字符，则无法完成交易).

收件人需要出示所选加密货币地址的二维码。 无论是通过商业软件还是钱包应用程序，生成二维码的过程都是由软件完成的。

汇款人需要扫描收款人二维码。 具体流程是，他们需要打开带有特定加密货币的钱包APP，输入发送金额，点击二维码选项，扫描收款人二维码获取地址，确认信息（发送金额和地址），然后确认交易。

常见的欺诈套路

这种作弊方式太简单了。 骗子的地址是通过二维码生成器嵌入的，许多受害者甚至没有意识到他们已经被骗了。

我们为地址 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4 生成了二维码。

（提交地址为18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4）

但相反，我们得到了一个与另一个地址匹配的二维码。

（实际生成地址为17bCMMLmWayKGCH678cHQETJFjhBR44Hjx）

如图所示，一个有趣的现象是，骗子们甚至不需要自己生成假二维码比特币二维码生成器，而是厚颜无耻地调用区块链浏览器的API生成地址二维码。

诈骗者使用的额外技巧

一些骗子不仅用自己的地址创建二维码，还会在骗局中加入一些额外的“技巧”：

适应多种地址格式：比特币支持多种地址格式。 最值得注意的是，普通地址以“1”开头，P2SH 地址以“3”开头，Bech32 地址以“bc”开头。 有些诈骗网站会根据申请人的地址格式制作二维码，如果受害人不仔细确认，就很难发现问题所在。

更改剪贴板地址：一些欺诈网站将他们的地址放在剪贴板上，如果受害人通过复制粘贴验证二维码，就会诱使他们认为地址是他们的。

（实现上述欺诈方法的Javascript代码）

这种欺骗行得通吗？当然行得通

由于比特币区块链是公开的，我们收集了一些关于此类骗局的统计数据。

诈骗地址之一：活跃2个月，共交易21笔，赚取0.58 BTC（来源：blockchain.com）

欺诈者套现：将资金从欺诈地址转移到他们的钱包（来源：btc.com）

我们收集的数据显示，此类骗局已造成至少 20,000 美元的损失。 这可能只是冰山一角，因为欺诈者可能会频繁更改地址以避免被发现或被列入黑名单。

用户应该怎么办？

如果需要生成二维码：

不要谷歌！ 如果你需要生成二维码，最好使用你比较熟悉的网站，比如你最常用的区块浏览器。

仔细核实：发送此二维码前，请先用钱包APP扫一扫，核实地址是否准确。

威胁情报服务很重要：在浏览器插件和钱包中添加威胁情报服务（例如 MetaCert 的 Cryptonite），可以在用户访问欺诈网站和地址时提醒用户，有时是有用的，但不是万能的，因为这些服务的覆盖范围是有限的。

目前查获的造假信息如下：

17bCMMLmWayKGCH678cHQETJFjhBR44Hjx (hxxps://bitcoinqrcodegenerator.net/)

14ZGdFRaCN8wkNrHpiYLygipcLoGfvUAtg, 35mJx4EeEY7Lnkxvg1Swn1eSUN1TtQsQ3, bc1qs4hcuqcv4e5lcd43f4jsvyx206nzkh4az05nds (hxxps://btcfrog.com/)

1KrHRyK9TKNU4eR5nhJdTV6rmBpmuU3dGw (hxxps://bitcoin-qr-code.net)

1Gg9VZe1E4XTLsmrTnB72QrsiHXKbcmBRX (hxxps://mybitcoinqrcode.com/)

QR 码是一种非常简单的数据共享方式。 然而，由于代码不是人类可读的，它开辟了一条新的欺诈途径。 欺诈可能发生在收款人身上，因为它需要生成带有地址的二维码，但如果发件人使用不安全的钱包或不安全的二维码生成器，也可能成为受害者。

我们相信未来会出现更多与二维码相关的欺诈事件，加密货币社区需要解决这些问题并提出更好的保护措施。