คู่มือสำหรับมือใหม่เกี่ยวกับความปลอดภัยของ Web3: วิธีหลีกเลี่ยงการโกงแอร์ดรอป
พื้นหลัง
ในคู่มือก่อนหน้าของเราเกี่ยวกับความปลอดภัยของ Web3 เราได้ครอบคลุมหัวข้อเรื่องการโจมตีแบบมัลติซิก โดยพูดถึงกลไกของกระเป๋าเงินมัลติซิกวิธีการโจมตีและวิธีป้องกันกระเป๋าเงินของคุณจากลายเซ็นที่เป็นอันตราย ในส่วนนี้ พวกเราจะศึกษาวิธีการตลาดที่ใช้กันอย่างแพร่หลายในอุตสาหกรรมทั้งในบริบทแบบดั้งเดิมและอุตสาหกรรมคริปโต - แอร์ดรอป
Airdrops สามารถขับเคลื่อนโครงการจากความคลุมเครือไปสู่สปอตไลท์ได้อย่างรวดเร็วช่วยให้สร้างฐานผู้ใช้ได้อย่างรวดเร็วและเพิ่มการมองเห็นตลาด โดยทั่วไปผู้ใช้จะเข้าร่วมในโครงการ Web3 โดยคลิกลิงก์และโต้ตอบกับโครงการเพื่อรับโทเค็น airdrop อย่างไรก็ตามตั้งแต่เว็บไซต์ปลอมไปจนถึงเครื่องมือที่มีแบ็คดอร์แฮกเกอร์ได้วางกับดักตลอดกระบวนการ airdrop คู่มือนี้จะวิเคราะห์การหลอกลวง airdrop ทั่วไปเพื่อช่วยคุณหลีกเลี่ยงข้อผิดพลาดเหล่านี้
มันคืออะไร Airdrop?
Airdrop เกิดขึ้นเมื่อโครงการ Web3 แจกจ่ายโทเค็นฟรีไปยังที่อยู่กระเป๋าเงินเฉพาะเพื่อเพิ่มการมองเห็นและดึงดูดผู้ใช้รายแรก นี่เป็นหนึ่งในวิธีที่ตรงที่สุดสําหรับโครงการเพื่อให้ได้ฐานผู้ใช้ โดยทั่วไป Airdrops สามารถแบ่งออกเป็นประเภทต่อไปนี้ตามวิธีการอ้างสิทธิ์:
Task-Based: การทำงานตามงานที่ระบุโดยโครงการ เช่น การแบ่งปันเนื้อหาหรือกดถูกใจโพสต์
เชื่อมโยงตามปฏิบัติการ: การดำเนินการเช่นการแลกเปลี่ยนโทเค็น การส่ง/รับโทเค็น หรือการดำเนินการระหว่างเชื่อมโยงโซ่ครอสช์
Holding-Based: การถือโทเค็นที่ระบุจากโครงการเพื่อมีสิทธิ์รับแอร์ดรอป
การทำเครื่องหมาย: รับโทเค็นที่ถูกแอร์ดรอปผ่านการถือเหรียญเดี่ยวหรือคู่, การให้ความสะดวกสบาย, หรือการล็อคโทเค็นระยะยาว
ความเสี่ยงในการอ้างสิทธิ์ Airdrops
แอร์ดรอปปลอม
การหลอกลวงเหล่านี้สามารถแบ่งออกเป็นหลายประเภทได้:
- บัญชีทางการที่ถูกโจรกรรม: แฮกเกอร์อาจเข้าควบคุมบัญชีทางการของโครงการและโพสต์ประกาศ airdrop ปลอม ตัวอย่างเช่น เป็นเรื่องปกติที่จะเห็นการแจ้งเตือนบนแพลตฟอร์มข่าว เช่น "บัญชี X หรือ Discord ของ Project Y ถูกแฮ็ก อย่าคลิกลิงก์ฟิชชิ่งที่แฮ็กเกอร์แชร์" ตามรายงานความปลอดภัยบล็อกเชนกลางปี 2024 และการต่อต้านการฟอกเงินของเรามีเหตุการณ์ดังกล่าว 27 เหตุการณ์ในช่วงครึ่งแรกของปี 2024 เพียงอย่างเดียว ผู้ใช้ที่เชื่อถือบัญชีทางการอาจคลิกลิงก์เหล่านี้และถูกเปลี่ยนเส้นทางไปยังไซต์ฟิชชิ่งที่ปลอมตัวเป็นหน้า Airdrop หากพวกเขาป้อนคีย์ส่วนตัววลีเมล็ดพันธุ์หรือให้สิทธิ์แฮกเกอร์สามารถขโมยทรัพย์สินของพวกเขาได้
- การแอบอ้างบุคคลอื่นในส่วนความคิดเห็น: แฮกเกอร์มักจะสร้างบัญชีโครงการปลอมและโพสต์ในความคิดเห็นของช่องทางโซเชียลมีเดียของโครงการจริงโดยอ้างว่าเสนอ airdrops ผู้ใช้ที่ไม่ระมัดระวังอาจติดตามลิงก์เหล่านี้ไปยังไซต์ฟิชชิ่ง ตัวอย่างเช่นทีมรักษาความปลอดภัย SlowMist ได้วิเคราะห์กลยุทธ์เหล่านี้ก่อนหน้านี้และให้คําแนะนําในบทความชื่อ "ระวังการแอบอ้างเป็นบุคคลอื่นในส่วนความคิดเห็น" นอกจากนี้หลังจากประกาศ airdrop ที่ถูกต้องแฮกเกอร์จะตอบสนองอย่างรวดเร็วโดยการโพสต์ลิงก์ฟิชชิ่งโดยใช้บัญชีปลอมที่คล้ายกับบัญชีอย่างเป็นทางการ ผู้ใช้หลายคนถูกหลอกให้ติดตั้งแอปที่เป็นอันตรายหรือเซ็นชื่อธุรกรรมบนไซต์ฟิชชิ่ง
- การโจมตีด้านเซียมซอเชี่ยล: ในบางกรณี ของโจมตี ฉ้อโคร่งคนตัดตัวผ่านกลุ่มโครงการ Web3 โดยเป้าหมายผู้ใช้เฉพาะ และใช้เทคนิคการโจมตีด้านเซียมซอเชี่ยลเพื่อหลอกลวงพวกเขา พวกเขาอาจปรากฎตัวเป็นพนักงานสนับสนุนหรือสมาชิกชุมชนที่เป็นประโยชน์ โดยเสนอความช่วยเหลือให้กับผู้ใช้ในกระบวนการเรียกร้องแอร์ดรอป โดยที่ฉ้อโคร่งเพื่อลักลอบขโมยทรัพย์สินของพวกเขา ผู้ใช้ควรเฝ้าระวังและไม่เชื่อคำเสนอความช่วยเหลือที่ไม่ถูกเรียกร้องมาจากบุคคลที่อ้างว่าเป็นตัวแทนทางการ
โทเคน Airdrop "ฟรี"
ในขณะที่ส่วนใหญ่ของแอร์ดรอปต้องการผู้ใช้ทำงานบางอย่าง มีกรณีที่โทเค็นปรากฏในกระเป๋าเงินของคุณโดยไม่มีการกระทำใดๆ จากคุณ แฮ็กเกอร์บ่อยครั้งจะแอร์ดรอปโทเค็นที่ไม่มีค่าไปยังกระเป๋าเงินของคุณ หวังว่าคุณจะโต้ตอบกับพวกเขาโดยการโอน ดู หรือพยายามที่จะซื้อขายพวกเขาในตลาดที่ไม่มีการกำหนด อย่างไรก็ตาม เมื่อพยายามที่จะโต้ตอบกับ Scam NFTs เหล่านี้ คุณอาจพบข้อความผิดพลาดที่ให้คุณไปที่เว็บไซต์เพื่อ “ปลดล็อคไอเทมของคุณ” นี่คือกับดักที่นำไปสู่เว็บไซต์การจ phishing
หากผู้ใช้เข้าชมเว็บไซต์ขโมยข้อมูลที่เชื่อมโยงโดย Scam NFT ฮากเกอร์อาจดำเนินการดังต่อไปนี้:
ดำเนินการซื้อ NFT มูลค่ามากโดยไม่ต้องเสียค่าใช้จ่าย (อ้างอิงการวิเคราะห์การฟิชชิ่ง NFT การซื้อโดยไม่ต้องเสียค่าใช้จ่าย)
ขโมยโทเคนค่าสูงผ่านการอนุมัติการใช้งานหรือลายเซ็นต์ใบอนุญาต
เอาสินทรัพย์เชิงพื้นเมืองออกไป
ต่อไปเราจะสำรวจวิธีที่ฮากเกอร์สามารถขโมยค่าธรรมเนียมในการใช้แก๊สของผู้ใช้ผ่านสัญญาที่มีความชั่งใช้อย่างระมัดระวัง
ตัวแฮ็กเกอร์สร้างสัญญาที่อันตรายชื่อ GPT บน Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) และเล่นกับผู้ใช้โดยการแอร์ดรอปโทเคน
เมื่อผู้ใช้โต้ตอบกับสัญญาที่เป็นอันตรายนี้พวกเขาจะได้รับแจ้งให้อนุมัติการใช้โทเค็นของสัญญาในกระเป๋าเงินของพวกเขา หากผู้ใช้อนุมัติคําขอนี้สัญญาที่เป็นอันตรายจะเพิ่มขีด จํากัด ก๊าซโดยอัตโนมัติตามยอดคงเหลือในกระเป๋าเงินของผู้ใช้ซึ่งนําไปสู่การใช้ก๊าซที่สูงขึ้นในการทําธุรกรรมครั้งต่อไป
โดยการใช้ขีดจำกัดแก๊สที่สูงที่ผู้ใช้ให้มา สัญญาที่ไม่ดีใช้แก๊สเกินเพื่อสร้างเหรียญ CHI (เหรียญ CHI สามารถใช้เป็นการชดเชยแก๊ส) หลังจากที่สะสมเหรียญ CHI จำนวนมาก แฮ็กเกอร์สามารถเผาเหรียญเหล่านี้เพื่อรับคืนเงินค่าแก๊สเมื่อสัญญาถูกทำลาย
https://x.com/SlowMist_Team/status/1640614440294035456
ผ่านวิธีนี้ ฮากเกอร์ได้กำไรอย่างชาญฉลาดจากค่าธรรมเนียมแก๊สของผู้ใช้ในขณะที่ผู้ใช้อาจไม่รู้ว่าพวกเขาจ่ายค่าธรรมเนียมแก๊สเพิ่มเติม ผู้ใช้คาดหวังว่าจะได้กำไรจากการขายตั๋วแอร์ดรอปแต่ลงท้ายก็เสียทรัพย์สินอันเป็นของธรรมชาติของพวกเขาแทน
เครื่องมือ Backdoor
https://x.com/evilcos/status/1593525621992599552
ในระหว่างกระบวนการเรียกรับแอร์ดรอป บางผู้ใช้จำเป็นต้องดาวน์โหลดปลั๊กอินสำหรับงานเช่นการแปลหรือการตรวจสอบความหายากของโทเค็น อย่างไรก็ตามความปลอดภัยของปลั๊กอินเหล่านี้ยังเป็นคำถามบางประการ และบางผู้ใช้ไม่ได้ดาวน์โหลดมาจากแหล่งที่มาอย่างเป็นทางการ ซึ่งเพิ่มความเสี่ยงในการดาวน์โหลดปลั๊กอินที่มีลักษณะที่เปิดเผยลับ
นอกจากนี้เรายังสังเกตเห็นบริการออนไลน์ที่ขายสคริปต์สําหรับการอ้างสิทธิ์ airdrops โดยอ้างว่าทําให้การโต้ตอบแบบแบทช์เป็นไปโดยอัตโนมัติอย่างมีประสิทธิภาพ อย่างไรก็ตามโปรดทราบว่าการดาวน์โหลดและเรียกใช้สคริปต์ที่ไม่ได้รับการยืนยันและยังไม่ได้ตรวจทานนั้นมีความเสี่ยงอย่างยิ่งเนื่องจากคุณไม่สามารถแน่ใจได้ถึงแหล่งที่มาของสคริปต์หรือฟังก์ชันที่แท้จริงของสคริปต์ สคริปต์เหล่านี้อาจมีรหัสที่เป็นอันตรายก่อให้เกิดภัยคุกคามที่อาจเกิดขึ้นเช่นการขโมยคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์หรือดําเนินการอื่น ๆ ที่ไม่ได้รับอนุญาต ยิ่งไปกว่านั้นผู้ใช้บางคนเมื่อมีส่วนร่วมในการดําเนินการที่มีความเสี่ยงประเภทนี้อาจไม่ได้ติดตั้งซอฟต์แวร์ป้องกันไวรัสหรือปิดใช้งานซึ่งสามารถป้องกันไม่ให้พวกเขาตรวจพบว่าอุปกรณ์ของพวกเขาถูกบุกรุกโดยมัลแวร์ซึ่งนําไปสู่ความเสียหายเพิ่มเติม
สรุปผล
ในคู่มือนี้เราได้เน้นถึงความเสี่ยงต่างๆที่เกี่ยวข้องกับการอุปโภคแอร์ดรอปโดยการวิเคราะห์กลยุทธ์การโกงที่พบบ่อย แอร์ดรอปเป็นกลยุทธ์การตลาดที่ได้รับความนิยม แต่ผู้ใช้สามารถลดความเสี่ยงของการสูญเสียสินทรัพย์ในระหว่างกระบวนการได้โดยการใช้มาตรการป้องกันต่อไปนี้:
ตรวจสอบอย่างละเอียด: เช็ค URL อีกครั้งเสมอเมื่อเข้าชมเว็บไซต์ airdrop โดยยืนยันผ่านบัญชีทางการหรือประกาศอย่างเป็นทางการ และพิจารณาที่จะติดตั้งปลั๊กอินตรวจจับความเสี่ยงจากการโจมตีแบบโฟชิง เช่น Scam Sniffer
ใช้กระเป๋าเงิน SegreGated: เก็บเงินจำนวนเล็กเท่านั้นในกระเป๋าเงินที่ใช้สำหรับแอร์ดรอป ในขณะที่เก็บจำนวนเงินมากกว่าในกระเป๋าเงินที่เย็น
ระวังกับแอร์ดรอปที่ไม่รู้จัก: อย่ามีปฏิสัมพันธ์หรืออนุมัติธุรกรรมที่เกี่ยวกับโทเค็นแอร์ดรอปจากแหล่งที่ไม่รู้จัก
ตรวจสอบขีดจำกัดของแก๊ส: ตรวจสอบขีดจำกัดของแก๊สเสมอก่อนยืนยันธุรกรรม โดยเฉพาะถ้าดูเหมือนสูงเกินไป
ใช้ซอฟต์แวร์ตรวจสอบไวรัสที่มีชื่อเสียง: เปิดใช้งานการป้องกันแบบเรียลไทม์และอัปเดตโปรแกรมตรวจสอบไวรัสของคุณอย่างสม่ำเสมอเพื่อให้สามารถบล็อกสิ่งที่เป็นอันตรายล่าสุดได้
คำปฏิเสธ:
- บทความนี้ถูกพิมพ์ซ้ำจาก[SunSec], สิทธิ์การคัดลอกทั้งหมดเป็นของผู้เขียนต้นฉบับ [ SlowMist]. หากมีคำประทังเรื่องการเผยแพร่ซ้ำนี้ กรุณาติดต่อ ประตูเรียนรู้ทีมงานและพวกเขาจะดำเนินการให้เร็วทันใจ
- คำปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำในการลงทุนใด ๆ
- การแปลบทความเป็นภาษาอื่นๆ ทำโดยทีม Gate Learn หากไม่ได้ระบุไว้ การคัดลอก การแจกจ่าย หรือการลอกเลียนแบบบทความที่ถูกแปลนั้นถือเป็นการละเมิดสิทธิ์
บทความที่เกี่ยวข้อง
คู่มือสำหรับผู้เริ่มต้นเทรด
คู่มือสำหรับผู้เริ่มต้นสู่ TradingView
ความเสี่ยงที่คุณต้องระวังเมื่อซื้อขาย Crypto
คู่มือสำหรับมือใหม่เกี่ยวกับความปลอดภัยของ Web3: วิธีหลีกเลี่ยงการโกงแอร์ดรอป
พื้นหลัง
ในคู่มือก่อนหน้าของเราเกี่ยวกับความปลอดภัยของ Web3 เราได้ครอบคลุมหัวข้อเรื่องการโจมตีแบบมัลติซิก โดยพูดถึงกลไกของกระเป๋าเงินมัลติซิกวิธีการโจมตีและวิธีป้องกันกระเป๋าเงินของคุณจากลายเซ็นที่เป็นอันตราย ในส่วนนี้ พวกเราจะศึกษาวิธีการตลาดที่ใช้กันอย่างแพร่หลายในอุตสาหกรรมทั้งในบริบทแบบดั้งเดิมและอุตสาหกรรมคริปโต - แอร์ดรอป
Airdrops สามารถขับเคลื่อนโครงการจากความคลุมเครือไปสู่สปอตไลท์ได้อย่างรวดเร็วช่วยให้สร้างฐานผู้ใช้ได้อย่างรวดเร็วและเพิ่มการมองเห็นตลาด โดยทั่วไปผู้ใช้จะเข้าร่วมในโครงการ Web3 โดยคลิกลิงก์และโต้ตอบกับโครงการเพื่อรับโทเค็น airdrop อย่างไรก็ตามตั้งแต่เว็บไซต์ปลอมไปจนถึงเครื่องมือที่มีแบ็คดอร์แฮกเกอร์ได้วางกับดักตลอดกระบวนการ airdrop คู่มือนี้จะวิเคราะห์การหลอกลวง airdrop ทั่วไปเพื่อช่วยคุณหลีกเลี่ยงข้อผิดพลาดเหล่านี้
มันคืออะไร Airdrop?
Airdrop เกิดขึ้นเมื่อโครงการ Web3 แจกจ่ายโทเค็นฟรีไปยังที่อยู่กระเป๋าเงินเฉพาะเพื่อเพิ่มการมองเห็นและดึงดูดผู้ใช้รายแรก นี่เป็นหนึ่งในวิธีที่ตรงที่สุดสําหรับโครงการเพื่อให้ได้ฐานผู้ใช้ โดยทั่วไป Airdrops สามารถแบ่งออกเป็นประเภทต่อไปนี้ตามวิธีการอ้างสิทธิ์:
Task-Based: การทำงานตามงานที่ระบุโดยโครงการ เช่น การแบ่งปันเนื้อหาหรือกดถูกใจโพสต์
เชื่อมโยงตามปฏิบัติการ: การดำเนินการเช่นการแลกเปลี่ยนโทเค็น การส่ง/รับโทเค็น หรือการดำเนินการระหว่างเชื่อมโยงโซ่ครอสช์
Holding-Based: การถือโทเค็นที่ระบุจากโครงการเพื่อมีสิทธิ์รับแอร์ดรอป
การทำเครื่องหมาย: รับโทเค็นที่ถูกแอร์ดรอปผ่านการถือเหรียญเดี่ยวหรือคู่, การให้ความสะดวกสบาย, หรือการล็อคโทเค็นระยะยาว
ความเสี่ยงในการอ้างสิทธิ์ Airdrops
แอร์ดรอปปลอม
การหลอกลวงเหล่านี้สามารถแบ่งออกเป็นหลายประเภทได้:
- บัญชีทางการที่ถูกโจรกรรม: แฮกเกอร์อาจเข้าควบคุมบัญชีทางการของโครงการและโพสต์ประกาศ airdrop ปลอม ตัวอย่างเช่น เป็นเรื่องปกติที่จะเห็นการแจ้งเตือนบนแพลตฟอร์มข่าว เช่น "บัญชี X หรือ Discord ของ Project Y ถูกแฮ็ก อย่าคลิกลิงก์ฟิชชิ่งที่แฮ็กเกอร์แชร์" ตามรายงานความปลอดภัยบล็อกเชนกลางปี 2024 และการต่อต้านการฟอกเงินของเรามีเหตุการณ์ดังกล่าว 27 เหตุการณ์ในช่วงครึ่งแรกของปี 2024 เพียงอย่างเดียว ผู้ใช้ที่เชื่อถือบัญชีทางการอาจคลิกลิงก์เหล่านี้และถูกเปลี่ยนเส้นทางไปยังไซต์ฟิชชิ่งที่ปลอมตัวเป็นหน้า Airdrop หากพวกเขาป้อนคีย์ส่วนตัววลีเมล็ดพันธุ์หรือให้สิทธิ์แฮกเกอร์สามารถขโมยทรัพย์สินของพวกเขาได้
- การแอบอ้างบุคคลอื่นในส่วนความคิดเห็น: แฮกเกอร์มักจะสร้างบัญชีโครงการปลอมและโพสต์ในความคิดเห็นของช่องทางโซเชียลมีเดียของโครงการจริงโดยอ้างว่าเสนอ airdrops ผู้ใช้ที่ไม่ระมัดระวังอาจติดตามลิงก์เหล่านี้ไปยังไซต์ฟิชชิ่ง ตัวอย่างเช่นทีมรักษาความปลอดภัย SlowMist ได้วิเคราะห์กลยุทธ์เหล่านี้ก่อนหน้านี้และให้คําแนะนําในบทความชื่อ "ระวังการแอบอ้างเป็นบุคคลอื่นในส่วนความคิดเห็น" นอกจากนี้หลังจากประกาศ airdrop ที่ถูกต้องแฮกเกอร์จะตอบสนองอย่างรวดเร็วโดยการโพสต์ลิงก์ฟิชชิ่งโดยใช้บัญชีปลอมที่คล้ายกับบัญชีอย่างเป็นทางการ ผู้ใช้หลายคนถูกหลอกให้ติดตั้งแอปที่เป็นอันตรายหรือเซ็นชื่อธุรกรรมบนไซต์ฟิชชิ่ง
- การโจมตีด้านเซียมซอเชี่ยล: ในบางกรณี ของโจมตี ฉ้อโคร่งคนตัดตัวผ่านกลุ่มโครงการ Web3 โดยเป้าหมายผู้ใช้เฉพาะ และใช้เทคนิคการโจมตีด้านเซียมซอเชี่ยลเพื่อหลอกลวงพวกเขา พวกเขาอาจปรากฎตัวเป็นพนักงานสนับสนุนหรือสมาชิกชุมชนที่เป็นประโยชน์ โดยเสนอความช่วยเหลือให้กับผู้ใช้ในกระบวนการเรียกร้องแอร์ดรอป โดยที่ฉ้อโคร่งเพื่อลักลอบขโมยทรัพย์สินของพวกเขา ผู้ใช้ควรเฝ้าระวังและไม่เชื่อคำเสนอความช่วยเหลือที่ไม่ถูกเรียกร้องมาจากบุคคลที่อ้างว่าเป็นตัวแทนทางการ
โทเคน Airdrop "ฟรี"
ในขณะที่ส่วนใหญ่ของแอร์ดรอปต้องการผู้ใช้ทำงานบางอย่าง มีกรณีที่โทเค็นปรากฏในกระเป๋าเงินของคุณโดยไม่มีการกระทำใดๆ จากคุณ แฮ็กเกอร์บ่อยครั้งจะแอร์ดรอปโทเค็นที่ไม่มีค่าไปยังกระเป๋าเงินของคุณ หวังว่าคุณจะโต้ตอบกับพวกเขาโดยการโอน ดู หรือพยายามที่จะซื้อขายพวกเขาในตลาดที่ไม่มีการกำหนด อย่างไรก็ตาม เมื่อพยายามที่จะโต้ตอบกับ Scam NFTs เหล่านี้ คุณอาจพบข้อความผิดพลาดที่ให้คุณไปที่เว็บไซต์เพื่อ “ปลดล็อคไอเทมของคุณ” นี่คือกับดักที่นำไปสู่เว็บไซต์การจ phishing
หากผู้ใช้เข้าชมเว็บไซต์ขโมยข้อมูลที่เชื่อมโยงโดย Scam NFT ฮากเกอร์อาจดำเนินการดังต่อไปนี้:
ดำเนินการซื้อ NFT มูลค่ามากโดยไม่ต้องเสียค่าใช้จ่าย (อ้างอิงการวิเคราะห์การฟิชชิ่ง NFT การซื้อโดยไม่ต้องเสียค่าใช้จ่าย)
ขโมยโทเคนค่าสูงผ่านการอนุมัติการใช้งานหรือลายเซ็นต์ใบอนุญาต
เอาสินทรัพย์เชิงพื้นเมืองออกไป
ต่อไปเราจะสำรวจวิธีที่ฮากเกอร์สามารถขโมยค่าธรรมเนียมในการใช้แก๊สของผู้ใช้ผ่านสัญญาที่มีความชั่งใช้อย่างระมัดระวัง
ตัวแฮ็กเกอร์สร้างสัญญาที่อันตรายชื่อ GPT บน Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) และเล่นกับผู้ใช้โดยการแอร์ดรอปโทเคน
เมื่อผู้ใช้โต้ตอบกับสัญญาที่เป็นอันตรายนี้พวกเขาจะได้รับแจ้งให้อนุมัติการใช้โทเค็นของสัญญาในกระเป๋าเงินของพวกเขา หากผู้ใช้อนุมัติคําขอนี้สัญญาที่เป็นอันตรายจะเพิ่มขีด จํากัด ก๊าซโดยอัตโนมัติตามยอดคงเหลือในกระเป๋าเงินของผู้ใช้ซึ่งนําไปสู่การใช้ก๊าซที่สูงขึ้นในการทําธุรกรรมครั้งต่อไป
โดยการใช้ขีดจำกัดแก๊สที่สูงที่ผู้ใช้ให้มา สัญญาที่ไม่ดีใช้แก๊สเกินเพื่อสร้างเหรียญ CHI (เหรียญ CHI สามารถใช้เป็นการชดเชยแก๊ส) หลังจากที่สะสมเหรียญ CHI จำนวนมาก แฮ็กเกอร์สามารถเผาเหรียญเหล่านี้เพื่อรับคืนเงินค่าแก๊สเมื่อสัญญาถูกทำลาย
https://x.com/SlowMist_Team/status/1640614440294035456
ผ่านวิธีนี้ ฮากเกอร์ได้กำไรอย่างชาญฉลาดจากค่าธรรมเนียมแก๊สของผู้ใช้ในขณะที่ผู้ใช้อาจไม่รู้ว่าพวกเขาจ่ายค่าธรรมเนียมแก๊สเพิ่มเติม ผู้ใช้คาดหวังว่าจะได้กำไรจากการขายตั๋วแอร์ดรอปแต่ลงท้ายก็เสียทรัพย์สินอันเป็นของธรรมชาติของพวกเขาแทน
เครื่องมือ Backdoor
https://x.com/evilcos/status/1593525621992599552
ในระหว่างกระบวนการเรียกรับแอร์ดรอป บางผู้ใช้จำเป็นต้องดาวน์โหลดปลั๊กอินสำหรับงานเช่นการแปลหรือการตรวจสอบความหายากของโทเค็น อย่างไรก็ตามความปลอดภัยของปลั๊กอินเหล่านี้ยังเป็นคำถามบางประการ และบางผู้ใช้ไม่ได้ดาวน์โหลดมาจากแหล่งที่มาอย่างเป็นทางการ ซึ่งเพิ่มความเสี่ยงในการดาวน์โหลดปลั๊กอินที่มีลักษณะที่เปิดเผยลับ
นอกจากนี้เรายังสังเกตเห็นบริการออนไลน์ที่ขายสคริปต์สําหรับการอ้างสิทธิ์ airdrops โดยอ้างว่าทําให้การโต้ตอบแบบแบทช์เป็นไปโดยอัตโนมัติอย่างมีประสิทธิภาพ อย่างไรก็ตามโปรดทราบว่าการดาวน์โหลดและเรียกใช้สคริปต์ที่ไม่ได้รับการยืนยันและยังไม่ได้ตรวจทานนั้นมีความเสี่ยงอย่างยิ่งเนื่องจากคุณไม่สามารถแน่ใจได้ถึงแหล่งที่มาของสคริปต์หรือฟังก์ชันที่แท้จริงของสคริปต์ สคริปต์เหล่านี้อาจมีรหัสที่เป็นอันตรายก่อให้เกิดภัยคุกคามที่อาจเกิดขึ้นเช่นการขโมยคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์หรือดําเนินการอื่น ๆ ที่ไม่ได้รับอนุญาต ยิ่งไปกว่านั้นผู้ใช้บางคนเมื่อมีส่วนร่วมในการดําเนินการที่มีความเสี่ยงประเภทนี้อาจไม่ได้ติดตั้งซอฟต์แวร์ป้องกันไวรัสหรือปิดใช้งานซึ่งสามารถป้องกันไม่ให้พวกเขาตรวจพบว่าอุปกรณ์ของพวกเขาถูกบุกรุกโดยมัลแวร์ซึ่งนําไปสู่ความเสียหายเพิ่มเติม
สรุปผล
ในคู่มือนี้เราได้เน้นถึงความเสี่ยงต่างๆที่เกี่ยวข้องกับการอุปโภคแอร์ดรอปโดยการวิเคราะห์กลยุทธ์การโกงที่พบบ่อย แอร์ดรอปเป็นกลยุทธ์การตลาดที่ได้รับความนิยม แต่ผู้ใช้สามารถลดความเสี่ยงของการสูญเสียสินทรัพย์ในระหว่างกระบวนการได้โดยการใช้มาตรการป้องกันต่อไปนี้:
ตรวจสอบอย่างละเอียด: เช็ค URL อีกครั้งเสมอเมื่อเข้าชมเว็บไซต์ airdrop โดยยืนยันผ่านบัญชีทางการหรือประกาศอย่างเป็นทางการ และพิจารณาที่จะติดตั้งปลั๊กอินตรวจจับความเสี่ยงจากการโจมตีแบบโฟชิง เช่น Scam Sniffer
ใช้กระเป๋าเงิน SegreGated: เก็บเงินจำนวนเล็กเท่านั้นในกระเป๋าเงินที่ใช้สำหรับแอร์ดรอป ในขณะที่เก็บจำนวนเงินมากกว่าในกระเป๋าเงินที่เย็น
ระวังกับแอร์ดรอปที่ไม่รู้จัก: อย่ามีปฏิสัมพันธ์หรืออนุมัติธุรกรรมที่เกี่ยวกับโทเค็นแอร์ดรอปจากแหล่งที่ไม่รู้จัก
ตรวจสอบขีดจำกัดของแก๊ส: ตรวจสอบขีดจำกัดของแก๊สเสมอก่อนยืนยันธุรกรรม โดยเฉพาะถ้าดูเหมือนสูงเกินไป
ใช้ซอฟต์แวร์ตรวจสอบไวรัสที่มีชื่อเสียง: เปิดใช้งานการป้องกันแบบเรียลไทม์และอัปเดตโปรแกรมตรวจสอบไวรัสของคุณอย่างสม่ำเสมอเพื่อให้สามารถบล็อกสิ่งที่เป็นอันตรายล่าสุดได้
คำปฏิเสธ:
- บทความนี้ถูกพิมพ์ซ้ำจาก[SunSec], สิทธิ์การคัดลอกทั้งหมดเป็นของผู้เขียนต้นฉบับ [ SlowMist]. หากมีคำประทังเรื่องการเผยแพร่ซ้ำนี้ กรุณาติดต่อ ประตูเรียนรู้ทีมงานและพวกเขาจะดำเนินการให้เร็วทันใจ
- คำปฏิเสธความรับผิด: มุมมองและความคิดเห็นที่แสดงในบทความนี้เป็นเพียงของผู้เขียนเท่านั้น และไม่เป็นการให้คำแนะนำในการลงทุนใด ๆ
- การแปลบทความเป็นภาษาอื่นๆ ทำโดยทีม Gate Learn หากไม่ได้ระบุไว้ การคัดลอก การแจกจ่าย หรือการลอกเลียนแบบบทความที่ถูกแปลนั้นถือเป็นการละเมิดสิทธิ์
บทความที่เกี่ยวข้อง
คู่มือสำหรับผู้เริ่มต้นเทรด
คู่มือสำหรับผู้เริ่มต้นสู่ TradingView