index
index
Empezar aquí
Cursos
Artículos
TodoAltcoinsBitcoinCadena de bloquesDeFiEthereumMetaversoNFTTradingTutorialFuturosBots de TradingBRC-20GameFiDAOMacrotendenciasMonederosInscriptionTecnologíamemeAISocialFiDePinMoneda estableStaking líquidoFinanzasRWABlockchains modularesPrueba de conocimiento-ceroRestakingHerramientas CriptoAirdropProductos de GateSeguridadAnálisis de proyectosCryptoPulseInvestigaciónEcosistema TONCapa 2SolanaPagosMinería
Glosario
Investigación
Mis favoritos
Creator Incentive
EN PROGRESO
Arena de creadores
Embajador del Campus
Festival de creadores de vídeos
Reto de estudio diario
Reto de masterclass
Inicia sesión
Regístrate
Escanee el código QR para descargar la aplicación móvil
Seleccionar idioma y región
简体中文EnglishTiếng Việt繁體中文РусскийPortuguês (Portugal)ไทยIndonesia日本語بالعربيةУкраїнськаPortuguês (Brasil)
Color de subida/bajada
Hora de inicio y finalización del cambio
Learn
Guía para principiantes sobre la seguridad de Web3: cómo evitar estafas de airdrop

Guía para principiantes sobre la seguridad de Web3: cómo evitar estafas de airdrop

Principiante11/18/2024, 5:29:56 AM
Cuando participan en proyectos de Web3, los usuarios a menudo necesitan hacer clic en enlaces e interactuar con el equipo del proyecto para reclamar tokens de airdrop. Sin embargo, los hackers han establecido trampas en cada paso de este proceso, desde sitios web falsos hasta herramientas de puerta trasera. En esta guía, te guiaremos a través de estafas comunes de airdrop y compartiremos consejos sobre cómo evitar caer en sus garras.
TutorialAirdropSeguridad

Antecedentes

En nuestro último Guía para principiantes de seguridad Web3Nos enfocamos en ataques de phishing que involucran firmas múltiples, incluyendo cómo funcionan las firmas múltiples, qué los causa y cómo evitar que su billetera sea explotada. En esta ocasión, discutiremos una táctica de marketing popular utilizada tanto en industrias tradicionales como en el espacio de las criptomonedas: airdrops.

Los airdrops son una forma rápida para que los proyectos ganen visibilidad y construyan rápidamente una base de usuarios. Al participar en proyectos Web3, se les solicita a los usuarios que hagan clic en enlaces e interactúen con el equipo para reclamar tokens, pero los hackers han establecido trampas en todo el proceso. Desde sitios web falsos hasta herramientas maliciosas ocultas, los riesgos son reales. En esta guía, desglosaremos los típicos fraudes de airdrop y lo ayudaremos a protegerse.

¿Qué es un Airdrop?

Un airdrop es cuando un proyecto Web3 distribuye tokens gratuitos a direcciones de billetera específicas para aumentar la visibilidad y atraer usuarios. Esta es una forma directa para que los proyectos ganen impulso. Los airdrops se pueden categorizar según cómo se reclaman:

  • Basado en tareas: Completa tareas específicas como compartir, dar me gusta u otras acciones.
  • Interactivo: completa acciones como intercambiar tokens, enviar/recibir tokens o realizar operaciones entre cadenas.
  • Basado en la retención: Mantenga ciertos tokens para ser elegible para airdrops.
  • Basado en staking: Apostar tokens, proporcionar liquidez o bloquear activos por un período para ganar tokens de airdrop.

Riesgos de reclamar Airdrops

Estafas de Airdrop Falso

Aquí hay algunos tipos comunes de estafas de airdrop falsas:

  1. Los hackers secuestran la cuenta oficial de un proyecto para publicar anuncios falsos de airdrop. A menudo vemos alertas como "La cuenta de X o la cuenta de Discord de cierto proyecto ha sido hackeada. Por favor, no hagas clic en el enlace de phishing publicado por el hacker." Según el informe de SlowMist de 2024, hubo 27 casos de cuentas de proyectos hackeadas solo en la primera mitad del año. Los usuarios, confiando en las cuentas oficiales, hacen clic en estos enlaces y son llevados a sitios web de phishing disfrazados de airdrops. Si introduces tu clave privada o frase de semilla o autorizas cualquier permiso en estos sitios, los hackers pueden robar tus activos.

  1. Los hackers utilizan copias de alta fidelidad de las cuentas del equipo del proyecto para publicar mensajes falsos en la sección de comentarios de la cuenta oficial del proyecto, incitando a los usuarios a hacer clic en enlaces de phishing. El equipo de seguridad de SlowMist analizó previamente este método y proporcionó contramedidas (ver Equipos de Proyectos Falsos: Tenga cuidado con el phishing en la sección de comentarios de cuentas de imitaciónAdemás, después de que el proyecto oficial anuncia un airdrop, los hackers rápidamente siguen usando cuentas de imitación para publicar muchas actualizaciones que contienen enlaces de phishing en plataformas sociales. Muchos usuarios, al no identificar las cuentas falsas, terminan instalando aplicaciones fraudulentas o abriendo sitios web de phishing donde realizan operaciones de autorización de firmas.

(https://x.com/im23pds/status/1765577919819362702)

  1. El tercer método de estafa es aún peor y es una estafa clásica. Los estafadores acechan en los grupos de proyectos Web3, seleccionan a usuarios objetivo y llevan a cabo ataques de ingeniería social. A veces, utilizan airdrops como cebo, "enseñando" a los usuarios cómo transferir tokens para recibir airdrops. Los usuarios deben permanecer vigilantes y no confiar fácilmente en nadie que los contacte como "servicio al cliente oficial" o que afirme "enseñarles" cómo operar. Estas personas son muy probablemente estafadores. Puede que pienses que solo estás reclamando un airdrop, pero terminas sufriendo grandes pérdidas.


Tokens de Airdrop "gratuitos": Comprender los riesgos

Los airdrops son comunes en el espacio cripto, donde los usuarios suelen tener que completar ciertas tareas para ganar tokens gratis. Sin embargo, existen prácticas maliciosas que aprovechan estas oportunidades. Por ejemplo, los hackers pueden airdropear tokens sin valor real en las carteras de los usuarios. Estos usuarios pueden intentar interactuar con estos tokens, transferirlos, verificar su valor o incluso comerciar con ellos en exchanges descentralizados. Sin embargo, después de ingeniería inversa de un contrato NFT estafa, descubrimos que los intentos de transferir o listar el NFT fallan y aparece un mensaje de error: “Visite el sitio web para desbloquear su artículo”, engañando a los usuarios para que visiten un sitio de phishing.

Si los usuarios caen en esto y visitan el sitio de phishing, los hackers pueden tomar varias acciones perjudiciales:

  • Compra a granel de NFT valiosos a través de un mecanismo de "costo cero" (consulte "Phishing de NFT sin costo“para más detalles).
  • Robar aprobaciones de tokens de alto valor o permisos de firma.
  • Robar activos nativos de la billetera del usuario.

A continuación, veamos cómo los hackers utilizan un contrato malicioso cuidadosamente elaborado para robar las tarifas de Gas de los usuarios. Primero, el hacker crea un contrato malicioso llamado GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) en BSC, utilizando tokens airdrop para atraer a los usuarios a interactuar con él. Cuando los usuarios interactúan con este contrato malicioso, aparece una solicitud para aprobar el contrato para usar los tokens en la billetera del usuario. Si el usuario aprueba esta solicitud, el contrato malicioso aumenta automáticamente el límite de Gas basándose en el saldo de la billetera del usuario, lo que provoca que las transacciones posteriores consuman más tarifas de Gas.

Utilizando el límite de Gas alto proporcionado por el usuario, el contrato malicioso utiliza el Gas extra para acuñar tokens CHI (los tokens CHI pueden usarse como compensación de Gas). Después de acumular una gran cantidad de tokens CHI, el hacker puede quemar estos tokens para recibir una compensación de Gas cuando se destruye el contrato.

(https://x.com/SlowMist_Team/status/1640614440294035456)

A través de este método, el hacker se beneficia inteligentemente de las tarifas de Gas del usuario, e incluso es posible que el usuario ni siquiera se dé cuenta de que ha pagado tarifas adicionales de Gas. El usuario inicialmente pensó que podía obtener ganancias vendiendo los tokens airdrop, pero terminó teniendo sus activos nativos robados.

Herramientas con puerta trasera

(https://x.com/evilcos/status/1593525621992599552)

En el proceso de reclamar airdrops, algunos usuarios necesitan descargar complementos para traducir o consultar la rareza de los tokens, entre otras funciones. La seguridad de estos complementos es cuestionable, y algunos usuarios los descargan de fuentes no oficiales, aumentando el riesgo de descargar complementos con puertas traseras.

Además, hemos notado servicios en línea que venden scripts de airdrop que afirman automatizar interacciones a granel. Aunque esto suena eficiente, los usuarios deben tener precaución porque descargar scripts no verificados es extremadamente arriesgado. No se puede estar seguro de la fuente o la funcionalidad real del script. Puede contener código malicioso, potencialmente amenazante para robar claves privadas o frases de semilla o realizar otras acciones no autorizadas. Además, algunos usuarios ejecutan tales operaciones arriesgadas sin software antivirus, lo que puede llevar a infecciones de troyanos no detectadas, lo que resulta en daños a sus dispositivos.

Resumen

Esta guía explicó principalmente los riesgos asociados con reclamar airdrops mediante el análisis de estafas. Muchos proyectos ahora utilizan airdrops como una herramienta de marketing. Los usuarios pueden tomar las siguientes medidas para reducir el riesgo de pérdida de activos durante la reclamación de airdrops:

  • Multi-Verificación: Al visitar un sitio web de airdrop, revise cuidadosamente la URL. Confírmelo a través de la cuenta oficial del proyecto o los canales de anuncios. También puede instalar complementos de bloqueo de riesgos de phishing (como Scam Sniffer) para ayudar a identificar sitios web de phishing.
  • Segmentación de la billetera: Utilice una billetera con fondos pequeños para reclamar airdrops y guarde grandes cantidades en una billetera fría.
  • Ten cuidado con los tokens airdrop: Ten cuidado con los tokens airdrop de fuentes desconocidas. Evita autorizar o firmar transacciones apresuradamente.
  • Verificar límites de gas: Prestar atención a si el límite de gas para las transacciones es inusualmente alto.
  • Utilice software antivirus: utilice software antivirus conocido (como Kaspersky, AVG, etc.) para habilitar protección en tiempo real y asegurarse de que las definiciones de virus estén actualizadas.

Descargo de responsabilidad:

  1. Este artículo es una reimpresión de Tecnología SlowMist, los derechos de autor pertenecen al autor original [SlowMist Security Team]. Si hay objeciones a esta reimpresión, por favor contacte al Gate Learnequipo y lo resolverán rápidamente.
  2. Descargo de responsabilidad: las vistas y opiniones expresadas en este artículo son únicamente las del autor y no constituyen ningún consejo de inversión.
  3. El equipo de Aprendizaje de gate tradujo el artículo a otros idiomas. Está prohibido copiar, distribuir o plagiar los artículos traducidos a menos que se mencione.

Antecedentes

¿Qué es un Airdrop?

Riesgos de reclamar Airdrops

Resumen

Guía para principiantes sobre la seguridad de Web3: cómo evitar estafas de airdrop

Principiante11/18/2024, 5:29:56 AM
Cuando participan en proyectos de Web3, los usuarios a menudo necesitan hacer clic en enlaces e interactuar con el equipo del proyecto para reclamar tokens de airdrop. Sin embargo, los hackers han establecido trampas en cada paso de este proceso, desde sitios web falsos hasta herramientas de puerta trasera. En esta guía, te guiaremos a través de estafas comunes de airdrop y compartiremos consejos sobre cómo evitar caer en sus garras.
TutorialAirdropSeguridad

Antecedentes

¿Qué es un Airdrop?

Riesgos de reclamar Airdrops

Resumen

Antecedentes

En nuestro último Guía para principiantes de seguridad Web3Nos enfocamos en ataques de phishing que involucran firmas múltiples, incluyendo cómo funcionan las firmas múltiples, qué los causa y cómo evitar que su billetera sea explotada. En esta ocasión, discutiremos una táctica de marketing popular utilizada tanto en industrias tradicionales como en el espacio de las criptomonedas: airdrops.

Los airdrops son una forma rápida para que los proyectos ganen visibilidad y construyan rápidamente una base de usuarios. Al participar en proyectos Web3, se les solicita a los usuarios que hagan clic en enlaces e interactúen con el equipo para reclamar tokens, pero los hackers han establecido trampas en todo el proceso. Desde sitios web falsos hasta herramientas maliciosas ocultas, los riesgos son reales. En esta guía, desglosaremos los típicos fraudes de airdrop y lo ayudaremos a protegerse.

¿Qué es un Airdrop?

Un airdrop es cuando un proyecto Web3 distribuye tokens gratuitos a direcciones de billetera específicas para aumentar la visibilidad y atraer usuarios. Esta es una forma directa para que los proyectos ganen impulso. Los airdrops se pueden categorizar según cómo se reclaman:

  • Basado en tareas: Completa tareas específicas como compartir, dar me gusta u otras acciones.
  • Interactivo: completa acciones como intercambiar tokens, enviar/recibir tokens o realizar operaciones entre cadenas.
  • Basado en la retención: Mantenga ciertos tokens para ser elegible para airdrops.
  • Basado en staking: Apostar tokens, proporcionar liquidez o bloquear activos por un período para ganar tokens de airdrop.

Riesgos de reclamar Airdrops

Estafas de Airdrop Falso

Aquí hay algunos tipos comunes de estafas de airdrop falsas:

  1. Los hackers secuestran la cuenta oficial de un proyecto para publicar anuncios falsos de airdrop. A menudo vemos alertas como "La cuenta de X o la cuenta de Discord de cierto proyecto ha sido hackeada. Por favor, no hagas clic en el enlace de phishing publicado por el hacker." Según el informe de SlowMist de 2024, hubo 27 casos de cuentas de proyectos hackeadas solo en la primera mitad del año. Los usuarios, confiando en las cuentas oficiales, hacen clic en estos enlaces y son llevados a sitios web de phishing disfrazados de airdrops. Si introduces tu clave privada o frase de semilla o autorizas cualquier permiso en estos sitios, los hackers pueden robar tus activos.

  1. Los hackers utilizan copias de alta fidelidad de las cuentas del equipo del proyecto para publicar mensajes falsos en la sección de comentarios de la cuenta oficial del proyecto, incitando a los usuarios a hacer clic en enlaces de phishing. El equipo de seguridad de SlowMist analizó previamente este método y proporcionó contramedidas (ver Equipos de Proyectos Falsos: Tenga cuidado con el phishing en la sección de comentarios de cuentas de imitaciónAdemás, después de que el proyecto oficial anuncia un airdrop, los hackers rápidamente siguen usando cuentas de imitación para publicar muchas actualizaciones que contienen enlaces de phishing en plataformas sociales. Muchos usuarios, al no identificar las cuentas falsas, terminan instalando aplicaciones fraudulentas o abriendo sitios web de phishing donde realizan operaciones de autorización de firmas.

(https://x.com/im23pds/status/1765577919819362702)

  1. El tercer método de estafa es aún peor y es una estafa clásica. Los estafadores acechan en los grupos de proyectos Web3, seleccionan a usuarios objetivo y llevan a cabo ataques de ingeniería social. A veces, utilizan airdrops como cebo, "enseñando" a los usuarios cómo transferir tokens para recibir airdrops. Los usuarios deben permanecer vigilantes y no confiar fácilmente en nadie que los contacte como "servicio al cliente oficial" o que afirme "enseñarles" cómo operar. Estas personas son muy probablemente estafadores. Puede que pienses que solo estás reclamando un airdrop, pero terminas sufriendo grandes pérdidas.


Tokens de Airdrop "gratuitos": Comprender los riesgos

Los airdrops son comunes en el espacio cripto, donde los usuarios suelen tener que completar ciertas tareas para ganar tokens gratis. Sin embargo, existen prácticas maliciosas que aprovechan estas oportunidades. Por ejemplo, los hackers pueden airdropear tokens sin valor real en las carteras de los usuarios. Estos usuarios pueden intentar interactuar con estos tokens, transferirlos, verificar su valor o incluso comerciar con ellos en exchanges descentralizados. Sin embargo, después de ingeniería inversa de un contrato NFT estafa, descubrimos que los intentos de transferir o listar el NFT fallan y aparece un mensaje de error: “Visite el sitio web para desbloquear su artículo”, engañando a los usuarios para que visiten un sitio de phishing.

Si los usuarios caen en esto y visitan el sitio de phishing, los hackers pueden tomar varias acciones perjudiciales:

  • Compra a granel de NFT valiosos a través de un mecanismo de "costo cero" (consulte "Phishing de NFT sin costo“para más detalles).
  • Robar aprobaciones de tokens de alto valor o permisos de firma.
  • Robar activos nativos de la billetera del usuario.

A continuación, veamos cómo los hackers utilizan un contrato malicioso cuidadosamente elaborado para robar las tarifas de Gas de los usuarios. Primero, el hacker crea un contrato malicioso llamado GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) en BSC, utilizando tokens airdrop para atraer a los usuarios a interactuar con él. Cuando los usuarios interactúan con este contrato malicioso, aparece una solicitud para aprobar el contrato para usar los tokens en la billetera del usuario. Si el usuario aprueba esta solicitud, el contrato malicioso aumenta automáticamente el límite de Gas basándose en el saldo de la billetera del usuario, lo que provoca que las transacciones posteriores consuman más tarifas de Gas.

Utilizando el límite de Gas alto proporcionado por el usuario, el contrato malicioso utiliza el Gas extra para acuñar tokens CHI (los tokens CHI pueden usarse como compensación de Gas). Después de acumular una gran cantidad de tokens CHI, el hacker puede quemar estos tokens para recibir una compensación de Gas cuando se destruye el contrato.

(https://x.com/SlowMist_Team/status/1640614440294035456)

A través de este método, el hacker se beneficia inteligentemente de las tarifas de Gas del usuario, e incluso es posible que el usuario ni siquiera se dé cuenta de que ha pagado tarifas adicionales de Gas. El usuario inicialmente pensó que podía obtener ganancias vendiendo los tokens airdrop, pero terminó teniendo sus activos nativos robados.

Herramientas con puerta trasera

(https://x.com/evilcos/status/1593525621992599552)

En el proceso de reclamar airdrops, algunos usuarios necesitan descargar complementos para traducir o consultar la rareza de los tokens, entre otras funciones. La seguridad de estos complementos es cuestionable, y algunos usuarios los descargan de fuentes no oficiales, aumentando el riesgo de descargar complementos con puertas traseras.

Además, hemos notado servicios en línea que venden scripts de airdrop que afirman automatizar interacciones a granel. Aunque esto suena eficiente, los usuarios deben tener precaución porque descargar scripts no verificados es extremadamente arriesgado. No se puede estar seguro de la fuente o la funcionalidad real del script. Puede contener código malicioso, potencialmente amenazante para robar claves privadas o frases de semilla o realizar otras acciones no autorizadas. Además, algunos usuarios ejecutan tales operaciones arriesgadas sin software antivirus, lo que puede llevar a infecciones de troyanos no detectadas, lo que resulta en daños a sus dispositivos.

Resumen

Esta guía explicó principalmente los riesgos asociados con reclamar airdrops mediante el análisis de estafas. Muchos proyectos ahora utilizan airdrops como una herramienta de marketing. Los usuarios pueden tomar las siguientes medidas para reducir el riesgo de pérdida de activos durante la reclamación de airdrops:

  • Multi-Verificación: Al visitar un sitio web de airdrop, revise cuidadosamente la URL. Confírmelo a través de la cuenta oficial del proyecto o los canales de anuncios. También puede instalar complementos de bloqueo de riesgos de phishing (como Scam Sniffer) para ayudar a identificar sitios web de phishing.
  • Segmentación de la billetera: Utilice una billetera con fondos pequeños para reclamar airdrops y guarde grandes cantidades en una billetera fría.
  • Ten cuidado con los tokens airdrop: Ten cuidado con los tokens airdrop de fuentes desconocidas. Evita autorizar o firmar transacciones apresuradamente.
  • Verificar límites de gas: Prestar atención a si el límite de gas para las transacciones es inusualmente alto.
  • Utilice software antivirus: utilice software antivirus conocido (como Kaspersky, AVG, etc.) para habilitar protección en tiempo real y asegurarse de que las definiciones de virus estén actualizadas.

Descargo de responsabilidad:

  1. Este artículo es una reimpresión de Tecnología SlowMist, los derechos de autor pertenecen al autor original [SlowMist Security Team]. Si hay objeciones a esta reimpresión, por favor contacte al Gate Learnequipo y lo resolverán rápidamente.
  2. Descargo de responsabilidad: las vistas y opiniones expresadas en este artículo son únicamente las del autor y no constituyen ningún consejo de inversión.
  3. El equipo de Aprendizaje de gate tradujo el artículo a otros idiomas. Está prohibido copiar, distribuir o plagiar los artículos traducidos a menos que se mencione.
Empieza ahora
¡Regístrate y recibe un bono de
$100
!