空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

作者:SlowMist

编译:深潮TechFlow

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

背景

在我们之前关于 Web3 安全的指南中,我们讨论了多重签名钓鱼的主题,介绍了多重签名钱包的工作原理、攻击者如何利用这些钱包,以及如何保护你的钱包免受恶意签名的侵害。在本期中,我们将深入探讨一种在传统和加密行业中广泛使用的营销策略——空投(airdrops)。

空投可以迅速将一个项目从默默无闻推向聚光灯,帮助其快速建立用户基础并提升市场知名度。通常,用户通过点击链接并与项目互动来参与 Web3 项目,以领取空投的代币。然而,从假冒网站到带有后门的工具,黑客在整个空投过程中设置了陷阱。本指南将分析常见的空投诈骗,帮助你避免这些陷阱。

什么是空投?

空投是指 Web3 项目向特定钱包地址分发免费代币,以提高其可见性并吸引早期用户。这是项目获取用户基础的最直接方法之一。根据领取方式,空投一般可以分为以下几种类型:

  • 基于任务的:完成项目指定的任务,例如分享内容或点赞。

  • 基于互动的:进行代币交换、发送/接收代币或跨链操作等行为。

  • 基于持有的:持有项目指定的代币以符合空投资格。

  • 基于质押的:通过单资产或双资产质押、提供流动性或长期锁仓来赚取空投代币。

领取空投的风险

假空投诈骗

这些诈骗可以分为几种类型:

1. 劫持官方账户:黑客可能控制项目的官方账户并发布假空投公告。例如,新闻平台上常见的警报会显示:“项目 Y 的 X 或 Discord 账户已被黑客入侵;请勿点击黑客分享的钓鱼链接。”根据我们2024年中期区块链安全和反洗钱报告,2024年上半年仅发生了27起此类事件。用户信任官方账户,可能会点击这些链接并被重定向到伪装成空投页面的钓鱼网站。如果他们输入私钥、助记词或授予权限,黑客就能窃取他们的资产。

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

2. 评论区冒充:黑客常常创建假项目账户,并在真实项目的社交媒体评论中发布声称提供空投的信息。不小心的用户可能会跟随这些链接进入钓鱼网站。例如,SlowMist 安全团队曾分析过这些策略,并在一篇名为“警惕评论区冒充”的文章中提供了建议。此外,在合法空投宣布后,黑客会迅速通过假账户发布钓鱼链接,模仿官方账户。许多用户因此被欺骗,安装了恶意应用或在钓鱼网站上进行了交易签署。

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

3. 社会工程攻击:在某些情况下,诈骗者渗透到 Web3 项目群组中,针对特定用户,使用社会工程技术欺骗他们。他们可能假装是支持人员或热心的社区成员,提供帮助用户领取空投的指导,结果却盗取他们的资产。用户应保持警惕,不要相信声称是官方代表的个人提供的未请求帮助。

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

第一个案例:

  • 用户在加密货币交易所购买了3,592个Pendle币。

  • 用户在官方Telegram群组中提到自己没有申请空投。

  • 两个自称是客户支持的人联系了用户。

  • 他们引导用户将所有Pendle币转移到一个特定的区块链地址,声称这样做可以获得空投资格。

  • 用户完成转账后发现自己的币被盗了。

第二个案例:

  • 3月8日午夜左右,用户在申领空投时遇到”JSON-RPC错误”。

  • 用户在Twitter上寻求解决方案。

  • 有人联系用户并提供了一个网站链接,声称可以解决问题。

  • 网站要求用户输入私钥。

  • 用户按照指示操作,后来意识到被骗了。

  • 盗窃发生在3月9日凌晨1:10左右。

“免费”空投代币

虽然大多数空投要求用户完成任务,但有时代币会在你没有任何操作的情况下出现在你的钱包中。黑客通常会向你的钱包空投毫无价值的代币,希望你通过转账、查看或尝试在去中心化交易所交易它们来与其互动。然而,当你尝试与这些诈骗 NFT 互动时,可能会遇到一个错误消息,提示你访问一个网站以“解锁你的物品”。这实际上是一个引导你进入钓鱼网站的陷阱。

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

如果用户访问了由诈骗 NFT 链接的钓鱼网站,黑客可能会执行以下操作:

  • 进行“零成本购买”有价值的 NFT(请参阅“零成本购买”NFT钓鱼分析)。

  • 盗取高价值代币,通过批准或许可签名。

  • 窃取本地资产。

接下来,让我们看看黑客如何通过精心设计的恶意合约窃取用户的 gas 费用。

首先,黑客在币安智能链(BSC)上创建了一个名为 GPT 的恶意合约(0x513C285CD76884acC377a63DC63A4e83D7D21fb5),并通过空投代币诱使用户与其互动。

当用户与这个恶意合约互动时,会被提示批准合约使用他们钱包中的代币。如果用户批准了这个请求,恶意合约会根据用户的钱包余额自动增加 gas 限制,导致后续交易中 gas 消耗增加。

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

通过利用用户提供的高 gas 限制,恶意合约使用多余的 gas 铸造 CHI 代币(CHI 代币可用于 gas 补偿)。在积累大量 CHI 代币后,黑客可以在销毁合约时燃烧这些代币以获得 gas 退款。

通过这种方式,黑客巧妙地从用户的 gas 费用中获利,用户却可能并不知道自己支付了额外的费用。用户原本期望通过出售空投代币获利,结果却失去了自己的本地资产。

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

在领取空投的过程中,一些用户需要下载插件来完成翻译或检查代币稀有性等任务。然而,这些插件的安全性令人质疑,许多用户并未从官方渠道下载,导致下载带有后门的插件风险大增。

此外,我们还注意到一些在线服务出售用于领取空投的脚本,声称能够高效地自动化批量交互。请注意,下载和运行未经验证的脚本极其危险,因为你无法确认其来源或实际功能。这些脚本可能包含恶意代码,带来潜在威胁,例如窃取私钥或助记词,或进行其他未授权的操作,如转移资产。此外,一些用户在进行这些高风险操作时,可能没有安装杀毒软件,或已将其禁用,这会导致他们无法检测到设备是否已被恶意软件入侵,从而造成更大的损失。

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

图中受害者使用了 Zengo 钱包,拥有50个独立账户和50个本地账户。5月9日晚上10:22之后,受害者发现原有的 ETH(以太币)不见了。当确认账户被黑客入侵时,所有账户中的资金都已被盗。

原因可能是受害者不知情下下载了木马程序,受害者因防病毒软件和防火墙不兼容而将它们关闭。事后使用防病毒软件扫描,发现电脑上安装了21个木马。

结论

在本指南中,我们通过分析常见的诈骗手法,强调了与领取空投相关的各种风险。空投是一种流行的营销策略,但用户可以通过采取以下措施来降低在此过程中的资产损失风险。

免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。

(0)
BlockWeeks的头像BlockWeeks普通用户
上一篇 2024 年 8 月 23 日 15:46
下一篇 2024 年 8 月 23 日 16:53

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

返回顶部