Web3 安全入門指南:如何避免空投詐騙
背景
在我們之前關於 Web3 安全性的指南中,我們涵蓋了多重簽名網路釣魚的主題,討論了多重簽名錢包的機制,攻擊者如何利用它們,以及如何保護您的錢包免受惡意簽名。在本期中,我們將深入研究傳統和加密行業中廣泛使用的行銷策略——空投。
空投可以快速推動專案從默默無聞到聚光燈下,説明其快速建立使用者群並提高市場知名度。通常,用戶通過單擊連結並與專案交互以領取空投代幣來參與 Web3 專案。然而,從假冒網站到帶有後門的工具,駭客在整個空投過程中設置了陷阱。本指南將分析常見的空投詐騙,以説明您避免這些陷阱。
什麼是空投?
當Web3項目向特定錢包地址免費分發代幣以增加其可見度並吸引早期使用者時,就會發生空投。這是項目獲得用戶基礎的最直接方法之一。空投可以根據它們的索取方式通常分為以下類型:
基於任務:完成項目指定的任務,如分享內容或點贊帖子。
基於互動: 執行像代幣交換、發送/接收代幣或跨鏈操作等動作。
基於持有:持有項目指定的代幣以符合空投資格。
基於貨幣鎖倉、提供流動性或長期鎖倉獲取空投代幣。
申請空投的風險
假空投詐騙
這些詐騙可以分為幾種類型:
- 劫持官方帳戶:黑客可能控制項目的官方帳戶並發布假的空投公告。例如,我們經常在新聞平台上看到這樣的警告:“項目Y的X或Discord帳戶被黑客入侵了,不要點擊黑客分享的釣魚鏈接。”根據我們2024年上半年的區塊鏈安全和反洗錢報告,僅在2024年上半年就發生了27起此類事件。信任官方帳戶的用戶可能會點擊這些鏈接並被重定向到冒充空投頁面的釣魚網站。如果他們輸入私鑰、種子短語或授權,黑客就可以竊取他們的資產。
- 評論區冒充:黑客經常在真實項目的社交媒體渠道的評論中創建假項目帳戶,聲稱提供空投。不小心的用戶可能會點擊這些鏈接進入釣魚站點。例如,SlowMist安全團隊以前分析過這些策略並在一篇名為“評論區冒充須注意”的文章中提供了建議。此外,在宣布合法的空投後,黑客會迅速回應,使用與官方帳戶相似的假帳戶發布釣魚鏈接。許多用戶被騙安裝了惡意應用程序或在釣魚站點上簽署了交易。
- 社會工程攻擊: 在某些情況下,詐騙者滲透到 Web3 專案組,針對特定使用者,並使用社會工程技術來欺騙他們。他們可能會冒充支持人員或樂於助人的社區成員,提供指導使用者完成申請空投的過程,只是為了竊取他們的資產。用戶應保持警惕,不要相信自稱是官方代表的個人主動提供的説明。
“免費”空投代幣
大多數空投需要用戶完成任務,但有些情況下,代幣會出現在您的錢包中,而您並不需要採取任何行動。黑客們經常會將毫無價值的代幣空投到您的錢包中,希望您通過轉移、查看或嘗試在去中心化交易所上交易它們來與它們互動。然而,當您試圖與這些騙局NFT互動時,您可能會遇到一條錯誤消息,提示您訪問一個網站“解鎖您的物品”。這是一個陷阱,會導致一個釣魚網站。
如果用户访问了Scam NFT链接的钓鱼网站,黑客可能会执行以下操作:
進行價值不菲的NFT的“零成本購買”(參閱“零成本購買”NFT釣魚分析)。
通過批准授權或許可簽名來盜取高價值代幣。
帶走本地資產。
接下來,讓我們來看看黑客如何通過精心設計的惡意合約來竊取使用者的 gas 費用。
首先,黑客在幣安智能鏈(BSC)上創建了一個名為GPT的惡意合約(0x513C285CD76884acC377a63DC63A4e83D7D21fb5),並通過空投代幣引誘用戶與之互動。
當用戶與這個惡意合約互動時,他們會被提示批准合約使用他們錢包中的代幣。如果用戶批准了這個請求,那麼惡意合約會根據用戶錢包餘額自動增加氣體限制,從而導致後續交易中更高的氣體消耗。
通過利用用戶提供的高氣體限制,惡意合約使用多餘的氣體來鑄造CHI代幣(CHI代幣可以用於燃氣補償)。在累積了大量的CHI代幣之後,黑客可以在合約被摧毀時燒毀這些代幣以獲取燃氣退款。
https://x.com/SlowMist_Team/status/1640614440294035456
通過這種方法,駭客巧妙地從使用者的gas費用中獲利,而使用者可能不知道他們已經支付了額外的gas費用。使用者最初希望從出售空投代幣中獲利,但最終卻失去了他們的原生資產。
後門工具
https://x.com/evilcos/status/1593525621992599552
在領取空投的過程中,一些用戶需要下載插件來進行翻譯或檢查代幣的稀有度等任務。然而,這些插件的安全性令人懷疑,一些用戶並非從官方來源下載,大大增加了下載帶有後門插件的風險。
另外,我們注意到有些在線服務出售用於聲稱空投的腳本,聲稱可以有效自動化批量互動。然而,請注意,下載和運行未經驗證和未經審查的腳本非常危險,因為您無法確定腳本的來源或其實際功能。這些腳本可能包含惡意代碼,可能會造成潛在威脅,例如竊取私鑰或種子短語,或執行其他未經授權的操作。此外,一些用戶在從事這些類型的風險操作時,可能沒有安裝防病毒軟件,或者已經停用,這可能會防止它們檢測到其設備是否受到惡意軟件的侵害,進而導致進一步損害。
結論
在本指南中,我們通過分析常見的詐騙手法,突出了聲明空投所涉及的各種風險。 空投是一種流行的營銷策略,但用戶可以通過採取以下預防措施來減少在過程中資產損失的風險:
徹底驗證:訪問空投網站時,請務必仔細檢查URL。通過官方帳戶或公告確認它們,並考慮安裝網路釣魚風險檢測外掛程式,例如詐騙嗅探器。
使用分離的錢包: 在用於空投的錢包中僅保留少量資金,而將較大數量存儲於冷錢包中。
對於未知的空投要保持警覺:不要與來自未知來源的空投代幣交互或批准交易。
檢查瓦斯上限:在確認交易之前,請始終審查瓦斯上限,尤其是如果它似乎異常高。
使用信譽良好的防毒軟件:保持實時保護功能開啟,並定期更新您的防毒軟件,以確保最新的威脅被阻擋。
免責聲明:
相關文章
什麽是 ZEC?
Web3 安全入門指南:如何避免空投詐騙
背景
在我們之前關於 Web3 安全性的指南中,我們涵蓋了多重簽名網路釣魚的主題,討論了多重簽名錢包的機制,攻擊者如何利用它們,以及如何保護您的錢包免受惡意簽名。在本期中,我們將深入研究傳統和加密行業中廣泛使用的行銷策略——空投。
空投可以快速推動專案從默默無聞到聚光燈下,説明其快速建立使用者群並提高市場知名度。通常,用戶通過單擊連結並與專案交互以領取空投代幣來參與 Web3 專案。然而,從假冒網站到帶有後門的工具,駭客在整個空投過程中設置了陷阱。本指南將分析常見的空投詐騙,以説明您避免這些陷阱。
什麼是空投?
當Web3項目向特定錢包地址免費分發代幣以增加其可見度並吸引早期使用者時,就會發生空投。這是項目獲得用戶基礎的最直接方法之一。空投可以根據它們的索取方式通常分為以下類型:
基於任務:完成項目指定的任務,如分享內容或點贊帖子。
基於互動: 執行像代幣交換、發送/接收代幣或跨鏈操作等動作。
基於持有:持有項目指定的代幣以符合空投資格。
基於貨幣鎖倉、提供流動性或長期鎖倉獲取空投代幣。
申請空投的風險
假空投詐騙
這些詐騙可以分為幾種類型:
- 劫持官方帳戶:黑客可能控制項目的官方帳戶並發布假的空投公告。例如,我們經常在新聞平台上看到這樣的警告:“項目Y的X或Discord帳戶被黑客入侵了,不要點擊黑客分享的釣魚鏈接。”根據我們2024年上半年的區塊鏈安全和反洗錢報告,僅在2024年上半年就發生了27起此類事件。信任官方帳戶的用戶可能會點擊這些鏈接並被重定向到冒充空投頁面的釣魚網站。如果他們輸入私鑰、種子短語或授權,黑客就可以竊取他們的資產。
- 評論區冒充:黑客經常在真實項目的社交媒體渠道的評論中創建假項目帳戶,聲稱提供空投。不小心的用戶可能會點擊這些鏈接進入釣魚站點。例如,SlowMist安全團隊以前分析過這些策略並在一篇名為“評論區冒充須注意”的文章中提供了建議。此外,在宣布合法的空投後,黑客會迅速回應,使用與官方帳戶相似的假帳戶發布釣魚鏈接。許多用戶被騙安裝了惡意應用程序或在釣魚站點上簽署了交易。
- 社會工程攻擊: 在某些情況下,詐騙者滲透到 Web3 專案組,針對特定使用者,並使用社會工程技術來欺騙他們。他們可能會冒充支持人員或樂於助人的社區成員,提供指導使用者完成申請空投的過程,只是為了竊取他們的資產。用戶應保持警惕,不要相信自稱是官方代表的個人主動提供的説明。
“免費”空投代幣
大多數空投需要用戶完成任務,但有些情況下,代幣會出現在您的錢包中,而您並不需要採取任何行動。黑客們經常會將毫無價值的代幣空投到您的錢包中,希望您通過轉移、查看或嘗試在去中心化交易所上交易它們來與它們互動。然而,當您試圖與這些騙局NFT互動時,您可能會遇到一條錯誤消息,提示您訪問一個網站“解鎖您的物品”。這是一個陷阱,會導致一個釣魚網站。
如果用户访问了Scam NFT链接的钓鱼网站,黑客可能会执行以下操作:
進行價值不菲的NFT的“零成本購買”(參閱“零成本購買”NFT釣魚分析)。
通過批准授權或許可簽名來盜取高價值代幣。
帶走本地資產。
接下來,讓我們來看看黑客如何通過精心設計的惡意合約來竊取使用者的 gas 費用。
首先,黑客在幣安智能鏈(BSC)上創建了一個名為GPT的惡意合約(0x513C285CD76884acC377a63DC63A4e83D7D21fb5),並通過空投代幣引誘用戶與之互動。
當用戶與這個惡意合約互動時,他們會被提示批准合約使用他們錢包中的代幣。如果用戶批准了這個請求,那麼惡意合約會根據用戶錢包餘額自動增加氣體限制,從而導致後續交易中更高的氣體消耗。
通過利用用戶提供的高氣體限制,惡意合約使用多餘的氣體來鑄造CHI代幣(CHI代幣可以用於燃氣補償)。在累積了大量的CHI代幣之後,黑客可以在合約被摧毀時燒毀這些代幣以獲取燃氣退款。
https://x.com/SlowMist_Team/status/1640614440294035456
通過這種方法,駭客巧妙地從使用者的gas費用中獲利,而使用者可能不知道他們已經支付了額外的gas費用。使用者最初希望從出售空投代幣中獲利,但最終卻失去了他們的原生資產。
後門工具
https://x.com/evilcos/status/1593525621992599552
在領取空投的過程中,一些用戶需要下載插件來進行翻譯或檢查代幣的稀有度等任務。然而,這些插件的安全性令人懷疑,一些用戶並非從官方來源下載,大大增加了下載帶有後門插件的風險。
另外,我們注意到有些在線服務出售用於聲稱空投的腳本,聲稱可以有效自動化批量互動。然而,請注意,下載和運行未經驗證和未經審查的腳本非常危險,因為您無法確定腳本的來源或其實際功能。這些腳本可能包含惡意代碼,可能會造成潛在威脅,例如竊取私鑰或種子短語,或執行其他未經授權的操作。此外,一些用戶在從事這些類型的風險操作時,可能沒有安裝防病毒軟件,或者已經停用,這可能會防止它們檢測到其設備是否受到惡意軟件的侵害,進而導致進一步損害。
結論
在本指南中,我們通過分析常見的詐騙手法,突出了聲明空投所涉及的各種風險。 空投是一種流行的營銷策略,但用戶可以通過採取以下預防措施來減少在過程中資產損失的風險:
徹底驗證:訪問空投網站時,請務必仔細檢查URL。通過官方帳戶或公告確認它們,並考慮安裝網路釣魚風險檢測外掛程式,例如詐騙嗅探器。
使用分離的錢包: 在用於空投的錢包中僅保留少量資金,而將較大數量存儲於冷錢包中。
對於未知的空投要保持警覺:不要與來自未知來源的空投代幣交互或批准交易。
檢查瓦斯上限:在確認交易之前,請始終審查瓦斯上限,尤其是如果它似乎異常高。
使用信譽良好的防毒軟件:保持實時保護功能開啟,並定期更新您的防毒軟件,以確保最新的威脅被阻擋。
免責聲明:
相關文章