Latar Belakang

Dalam panduan sebelumnya tentang keamanan Web3, kami membahas topik phishing multisig, membahasmekanisme dompet multisig, bagaimana penyerang mengeksploitasi mereka, dan bagaimana cara menjaga dompet Anda dari tanda tangan jahat. Dalam bagian ini, kami akan membahas taktik pemasaran yang banyak digunakan dalam industri tradisional dan crypto - airdrop.

Airdrop dapat dengan cepat mendorong sebuah proyek dari ketidakdikenalan menjadi sorotan, membantu membangun basis pengguna dengan cepat dan meningkatkan visibilitas pasar. Biasanya, pengguna berpartisipasi dalam proyek Web3 dengan mengklik tautan dan berinteraksi dengan proyek untuk klaim token yang di-drop. Namun, mulai dari situs web palsu hingga alat yang disisipi pintu belakang, para peretas telah membuat jebakan di sepanjang proses airdrop. Panduan ini akan menganalisis penipuan airdrop umum untuk membantu Anda menghindari jebakan-jebakan ini.

Apa itu Airdrop?

Airdrop terjadi ketika proyek Web3 mendistribusikan token gratis ke alamat dompet tertentu untuk meningkatkan visibilitasnya dan menarik pengguna awal. Ini adalah salah satu metode yang paling langsung bagi proyek untuk mendapatkan basis pengguna. Airdrop umumnya dapat dikategorikan menjadi jenis-jenis berikut berdasarkan cara mereka diklaim:

• Berdasarkan Tugas: Menyelesaikan tugas yang ditentukan oleh proyek, seperti berbagi konten atau menyukai postingan.

• Berdasarkan Interaksi: Melakukan tindakan seperti pertukaran token, mengirim/menerima token, atau operasi lintas-rantai.

• Berbasis Holding: Menahan token tertentu dari proyek untuk memenuhi syarat airdrop.

• Staking-Based: Menerima token yang di-drop melalui staking aset tunggal atau ganda, menyediakan likuiditas, atau mengunci token dalam jangka panjang.

Risiko dalam Mengklaim Airdrop

Penipuan Airdrop Palsu

Penipuan ini dapat dibagi menjadi beberapa jenis:

1. Akun Resmi Diculik: Para peretas dapat mengambil alih akun resmi suatu proyek dan memposting pengumuman airdrop palsu. Misalnya, seringkali kita melihat peringatan di platform berita seperti 'Akun X atau Discord dari Proyek Y telah diretas; jangan klik tautan phising yang dibagikan oleh peretas'. Menurut Laporan Keamanan Blockchain dan Anti-Pencucian Uang Pertengahan Tahun 2024 kami, ada 27 insiden seperti itu hanya dalam setengah pertama 2024. Pengguna, yang mempercayai akun resmi, mungkin akan mengklik tautan ini dan diarahkan ke situs phising yang menyamar sebagai halaman airdrop. Jika mereka memasukkan kunci pribadi, frasa benih, atau memberikan izin, peretas dapat mencuri aset mereka.

1. Penyamaran di Bagian Komentar: Hacker sering membuat akun proyek palsu dan memposting di komentar saluran media sosial proyek asli, mengklaim menawarkan airdrop. Pengguna yang tidak hati-hati mungkin mengikuti tautan ini ke situs phishing. Misalnya, tim keamanan SlowMist sebelumnya telah menganalisis taktik-taktik ini dan memberikan rekomendasi dalam artikel berjudul "Hati-hati dengan Penyamaran di Bagian Komentar." Selain itu, setelah airdrop yang sah diumumkan, para hacker dengan cepat merespons dengan memposting tautan phishing menggunakan akun palsu yang menyerupai yang resmi. Banyak pengguna telah tertipu untuk menginstal aplikasi berbahaya atau menandatangani transaksi di situs phishing.

1. Serangan Rekayasa Sosial: Dalam beberapa kasus, penipu menyusup ke dalam grup proyek Web3, menargetkan pengguna tertentu, dan menggunakan teknik rekayasa sosial untuk menipu mereka. Mereka dapat menyamar sebagai staf pendukung atau anggota komunitas yang membantu, menawarkan bantuan kepada pengguna dalam proses klaim airdrop, namun sebenarnya tujuannya adalah mencuri aset mereka. Pengguna harus tetap waspada dan tidak percaya tawaran bantuan yang tidak diminta dari individu yang mengaku sebagai perwakilan resmi.

Token Airdrop “Gratis”

Sementara sebagian besar airdrop memerlukan pengguna untuk menyelesaikan tugas, ada beberapa kasus di mana token muncul di dompet Anda tanpa tindakan dari pihak Anda. Para peretas seringkali mengirimkan token tak berharga ke dompet Anda, dengan harapan Anda akan berinteraksi dengan token tersebut dengan mentransfer, melihat, atau mencoba untuk memperdagangkannya di bursa terdesentralisasi. Namun, ketika mencoba untuk berinteraksi dengan NFT Scam ini, Anda mungkin akan menemui pesan kesalahan yang meminta Anda untuk mengunjungi situs web untuk “membuka kunci item Anda.” Ini adalah perangkap yang mengarah ke situs phishing.

Jika seorang pengguna mengunjungi situs web phishing yang ditautkan oleh Scam NFT, peretas dapat melakukan tindakan-tindakan berikut:

• Lakukan pembelian "tanpa biaya" NFT berharga (lihat analisis phising NFT "pembelian tanpa biaya").

• Mencuri token bernilai tinggi melalui otorisasi Approve atau tanda tangan Permit.

• Ambil aset asli.

Selanjutnya, mari kita tinjau bagaimana para peretas dapat mencuri biaya gas pengguna melalui kontrak jahat yang dirancang dengan cermat.

Pertama, hacker membuat kontrak jahat bernama GPT di Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) dan memikat pengguna untuk berinteraksi dengannya dengan cara airdrop token.

Ketika pengguna berinteraksi dengan kontrak jahat ini, mereka diminta untuk menyetujui penggunaan token kontrak di dompet mereka. Jika pengguna menyetujui permintaan ini, kontrak jahat secara otomatis meningkatkan batas gas berdasarkan saldo dompet pengguna, yang mengakibatkan konsumsi gas yang lebih tinggi dalam transaksi berikutnya.

Dengan memanfaatkan batas gas yang tinggi yang disediakan oleh pengguna, kontrak jahat menggunakan gas berlebih untuk mencetak token CHI (token CHI dapat digunakan untuk kompensasi gas). Setelah mengumpulkan sejumlah besar token CHI, peretas dapat membakar token ini untuk menerima pengembalian gas saat kontrak dihancurkan.

https://x.com/SlowMist_Team/status/1640614440294035456

Melalui metode ini, para peretas dengan cerdik mendapatkan keuntungan dari biaya gas pengguna, sementara pengguna mungkin tidak menyadari bahwa mereka telah membayar biaya gas tambahan. Pengguna awalnya berharap untuk mendapatkan keuntungan dari penjualan token yang di-drop tetapi malah kehilangan aset asli mereka.

Alat pintu belakang

https://x.com/evilcos/status/1593525621992599552

Selama proses klaim airdrop, beberapa pengguna perlu mengunduh plugin untuk tugas seperti terjemahan atau memeriksa kelangkaan token. Namun, keamanan plugin ini dipertanyakan, dan beberapa pengguna tidak mengunduhnya dari sumber resmi, meningkatkan risiko mengunduh plugin dengan backdoor.

Selain itu, kami telah memperhatikan layanan online yang menjual skrip untuk mengklaim airdrop, yang mengklaim untuk mengotomatisasi interaksi berkelompok dengan efisien. Namun, harap diketahui bahwa mengunduh dan menjalankan skrip yang tidak terverifikasi dan tidak ditinjau sangat berisiko, karena Anda tidak dapat yakin dengan sumber skrip atau fungsi sebenarnya. Skrip ini mungkin mengandung kode berbahaya, menyebabkan ancaman potensial seperti pencurian kunci pribadi atau frasa benih, atau melakukan tindakan tidak sah lainnya. Selain itu, beberapa pengguna, ketika melakukan operasi berisiko seperti ini, entah tidak memiliki perangkat lunak antivirus terpasang atau menonaktifkannya, yang dapat mencegah mereka mendeteksi apakah perangkat mereka telah terinfeksi malware, menyebabkan kerusakan lebih lanjut.

Kesimpulan

Dalam panduan ini, kami telah menyoroti berbagai risiko yang terkait dengan klaim airdrop dengan menganalisis taktik penipuan umum. Airdrop adalah strategi pemasaran yang populer, tetapi pengguna dapat mengurangi risiko kehilangan aset selama proses dengan mengambil langkah-langkah berikut:

• Periksa dengan Teliti: Selalu periksa URL ketika mengunjungi situs web airdrop. Konfirmasikan melalui akun resmi atau pengumuman, dan pertimbangkan untuk menginstal plugin deteksi risiko phishing seperti Scam Sniffer.

• Gunakan Dompet Terpisah: Simpan hanya jumlah dana yang kecil di dompet yang digunakan untuk airdrop, sementara menyimpan jumlah yang lebih besar di dompet dingin.

• Berhati-hatilah dengan Airdrop yang Tidak Dikenal: Jangan berinteraksi atau menyetujui transaksi yang melibatkan token airdrop dari sumber yang tidak dikenal.

• Periksa Batasan Gas: Selalu tinjau batasan gas sebelum mengonfirmasi transaksi, terutama jika terlihat sangat tinggi.

• Gunakan Perangkat Lunak Antivirus Terpercaya: Aktifkan perlindungan waktu nyata dan rutin perbarui perangkat lunak antivirus Anda untuk memastikan ancaman terbaru diblokir.

Penafian:

1. Artikel ini diterjemahkan dari [SunSec], Semua hak cipta adalah milik penulis asli [SlowMist]. Jika ada keberatan terhadap cetakan ulang ini, harap hubungi Gate Belajartim, dan mereka akan menanganinya dengan segera.
2. Penafian Tanggung Jawab: Pandangan dan pendapat yang terdapat dalam artikel ini semata-mata merupakan pandangan penulis dan tidak merupakan saran investasi apa pun.
3. Terjemahan artikel ke bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan sebaliknya, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.