Dans notre précédent guide sur la sécurité Web3, nous avons abordé le sujet du phishing multisig, en discutant demécanique des portefeuilles multisig, comment les attaquants les exploitent et comment protéger votre portefeuille contre les signatures malveillantes. Dans cette édition, nous nous pencherons sur une tactique marketing largement utilisée à la fois dans les industries traditionnelles et crypto - les airdrops.
Les airdrops peuvent propulser rapidement un projet de l'obscurité à la lumière, l'aidant à construire rapidement une base d'utilisateurs et à améliorer sa visibilité sur le marché. En général, les utilisateurs participent aux projets Web3 en cliquant sur des liens et en interagissant avec le projet pour réclamer des jetons airdropés. Cependant, des sites Web contrefaits aux outils infectés par des portes dérobées, les pirates ont tendu des pièges tout au long du processus d'airdrop. Ce guide analysera les arnaques courantes des airdrops pour vous aider à éviter ces pièges.
Un airdrop se produit lorsqu’un projet Web3 distribue des jetons gratuits à des adresses de portefeuille spécifiques pour augmenter sa visibilité et attirer les premiers utilisateurs. C’est l’une des méthodes les plus directes pour les projets afin d’acquérir une base d’utilisateurs. Les parachutages peuvent généralement être classés dans les types suivants en fonction de la façon dont ils sont réclamés :
Basé sur les tâches : accomplir des tâches spécifiées par le projet, telles que le partage de contenu ou l'aimement de publications.
Interaction-Based: Effectuer des actions telles que des échanges de jetons, l'envoi/la réception de jetons ou des opérations inter-chaînes.
Basé sur la détention : Détention de jetons spécifiés du projet pour être éligible à l'airdrop.
Basé sur le staking : Gagner des jetons airdropés en stakant un seul ou deux actifs, en fournissant de la liquidité ou en verrouillant des jetons à long terme.
Ces escroqueries peuvent être divisées en plusieurs types :
Jetons d'Airdrop "gratuits"
Alors que la plupart des airdrops demandent aux utilisateurs de remplir des tâches, il arrive que des jetons apparaissent dans votre portefeuille sans aucune action de votre part. Les hackers font souvent tomber des jetons sans valeur dans votre portefeuille, espérant que vous interagirez avec eux en les transférant, en les visualisant ou en essayant de les échanger sur une bourse décentralisée. Cependant, en essayant d'interagir avec ces NFTs escrocs, vous pouvez rencontrer un message d'erreur vous invitant à visiter un site Web pour "débloquer votre objet". Il s'agit d'un piège qui mène à un site de phishing.
Si un utilisateur visite le site Web d’hameçonnage lié par un NFT frauduleux, le pirate peut effectuer les actions suivantes :
Effectuez un achat à « coût zéro » de NFT de valeur (reportez-vous à l'analyse de phishing NFT pour l'achat à « coût zéro »).
Voler des jetons de grande valeur grâce à l'autorisation Approve ou aux signatures Permit.
Emporter des actifs natifs.
Ensuite, examinons comment les pirates informatiques peuvent voler les frais de gaz des utilisateurs grâce à un contrat malveillant soigneusement conçu.
Tout d'abord, le pirate informatique a créé un contrat malveillant nommé GPT sur la Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) et a attiré les utilisateurs à interagir avec lui en larguant des jetons.
Lorsque les utilisateurs interagissent avec ce contrat malveillant, ils sont invités à approuver l’utilisation des tokens dans leur portefeuille par le contrat. Si l’utilisateur approuve cette demande, le contrat malveillant augmente automatiquement la limite de gaz en fonction du solde du portefeuille de l’utilisateur, ce qui entraîne une consommation de gaz plus élevée lors des transactions ultérieures.
En exploitant la limite de gaz élevée fournie par l'utilisateur, le contrat malveillant utilise le gaz excédentaire pour créer des jetons CHI (les jetons CHI peuvent être utilisés pour une compensation en gaz). Après avoir accumulé un grand nombre de jetons CHI, le pirate peut brûler ces jetons pour recevoir un remboursement en gaz lorsque le contrat est détruit.
https://x.com/SlowMist_Team/status/1640614440294035456
Grâce à cette méthode, le pirate tire habilement profit des frais de gaz de l'utilisateur, tandis que l'utilisateur peut ne pas se rendre compte qu'il a payé des frais de gaz supplémentaires. L'utilisateur s'attendait initialement à tirer profit de la vente des jetons distribués par largage, mais a fini par perdre ses actifs natifs à la place.
https://x.com/evilcos/status/1593525621992599552
Pendant le processus de réclamation des airdrops, certains utilisateurs doivent télécharger des plugins pour des tâches telles que la traduction ou la vérification de la rareté des jetons. Cependant, la sécurité de ces plugins est douteuse et certains utilisateurs ne les téléchargent pas depuis des sources officielles, ce qui augmente considérablement le risque de télécharger des plugins avec des portes dérobées.
De plus, nous avons remarqué des services en ligne qui vendent des scripts pour revendiquer des airdrops, prétendant automatiser les interactions en lots de manière efficace. Cependant, veuillez noter que le téléchargement et l'exécution de scripts non vérifiés et non examinés est extrêmement risqué, car vous ne pouvez pas être certain de la source du script ou de ses fonctions réelles. Ces scripts peuvent contenir du code malveillant, posant des menaces potentielles telles que le vol de clés privées ou de phrases de récupération ou l'exécution d'autres actions non autorisées. De plus, certains utilisateurs, lorsqu'ils s'engagent dans ces types d'opérations risquées, n'ont pas installé d'antivirus ou l'ont désactivé, ce qui peut les empêcher de détecter si leur appareil a été compromis par des logiciels malveillants, entraînant ainsi des dommages supplémentaires.
Dans ce guide, nous avons mis en évidence les différents risques liés à la réclamation de largages en analysant les tactiques courantes d'escroquerie. Les largages sont une stratégie de marketing populaire, mais les utilisateurs peuvent réduire le risque de perte d'actifs pendant le processus en prenant les précautions suivantes :
Vérifiez attentivement : Vérifiez toujours les URL lorsque vous visitez des sites web d'airdrop. Confirmez-les via des comptes officiels ou des annonces, et envisagez d'installer des plugins de détection des risques de phishing comme Scam Sniffer.
Utilisez des portefeuilles SegreGated : Ne conservez que de petites sommes de fonds dans les portefeuilles utilisés pour les airdrops, tout en stockant des montants plus importants dans un portefeuille à froid.
Soyez prudent avec les largages aériens inconnus : n'interagissez pas avec ou n'approuvez pas les transactions impliquant des jetons de largage aérien provenant de sources inconnues.
Vérifiez les limites de gaz : Examinez toujours la limite de gaz avant de confirmer une transaction, surtout si elle semble anormalement élevée.
Utilisez un logiciel antivirus réputé : Gardez la protection en temps réel activée et mettez régulièrement à jour votre logiciel antivirus pour bloquer les dernières menaces.
Dans notre précédent guide sur la sécurité Web3, nous avons abordé le sujet du phishing multisig, en discutant demécanique des portefeuilles multisig, comment les attaquants les exploitent et comment protéger votre portefeuille contre les signatures malveillantes. Dans cette édition, nous nous pencherons sur une tactique marketing largement utilisée à la fois dans les industries traditionnelles et crypto - les airdrops.
Les airdrops peuvent propulser rapidement un projet de l'obscurité à la lumière, l'aidant à construire rapidement une base d'utilisateurs et à améliorer sa visibilité sur le marché. En général, les utilisateurs participent aux projets Web3 en cliquant sur des liens et en interagissant avec le projet pour réclamer des jetons airdropés. Cependant, des sites Web contrefaits aux outils infectés par des portes dérobées, les pirates ont tendu des pièges tout au long du processus d'airdrop. Ce guide analysera les arnaques courantes des airdrops pour vous aider à éviter ces pièges.
Un airdrop se produit lorsqu’un projet Web3 distribue des jetons gratuits à des adresses de portefeuille spécifiques pour augmenter sa visibilité et attirer les premiers utilisateurs. C’est l’une des méthodes les plus directes pour les projets afin d’acquérir une base d’utilisateurs. Les parachutages peuvent généralement être classés dans les types suivants en fonction de la façon dont ils sont réclamés :
Basé sur les tâches : accomplir des tâches spécifiées par le projet, telles que le partage de contenu ou l'aimement de publications.
Interaction-Based: Effectuer des actions telles que des échanges de jetons, l'envoi/la réception de jetons ou des opérations inter-chaînes.
Basé sur la détention : Détention de jetons spécifiés du projet pour être éligible à l'airdrop.
Basé sur le staking : Gagner des jetons airdropés en stakant un seul ou deux actifs, en fournissant de la liquidité ou en verrouillant des jetons à long terme.
Ces escroqueries peuvent être divisées en plusieurs types :
Jetons d'Airdrop "gratuits"
Alors que la plupart des airdrops demandent aux utilisateurs de remplir des tâches, il arrive que des jetons apparaissent dans votre portefeuille sans aucune action de votre part. Les hackers font souvent tomber des jetons sans valeur dans votre portefeuille, espérant que vous interagirez avec eux en les transférant, en les visualisant ou en essayant de les échanger sur une bourse décentralisée. Cependant, en essayant d'interagir avec ces NFTs escrocs, vous pouvez rencontrer un message d'erreur vous invitant à visiter un site Web pour "débloquer votre objet". Il s'agit d'un piège qui mène à un site de phishing.
Si un utilisateur visite le site Web d’hameçonnage lié par un NFT frauduleux, le pirate peut effectuer les actions suivantes :
Effectuez un achat à « coût zéro » de NFT de valeur (reportez-vous à l'analyse de phishing NFT pour l'achat à « coût zéro »).
Voler des jetons de grande valeur grâce à l'autorisation Approve ou aux signatures Permit.
Emporter des actifs natifs.
Ensuite, examinons comment les pirates informatiques peuvent voler les frais de gaz des utilisateurs grâce à un contrat malveillant soigneusement conçu.
Tout d'abord, le pirate informatique a créé un contrat malveillant nommé GPT sur la Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) et a attiré les utilisateurs à interagir avec lui en larguant des jetons.
Lorsque les utilisateurs interagissent avec ce contrat malveillant, ils sont invités à approuver l’utilisation des tokens dans leur portefeuille par le contrat. Si l’utilisateur approuve cette demande, le contrat malveillant augmente automatiquement la limite de gaz en fonction du solde du portefeuille de l’utilisateur, ce qui entraîne une consommation de gaz plus élevée lors des transactions ultérieures.
En exploitant la limite de gaz élevée fournie par l'utilisateur, le contrat malveillant utilise le gaz excédentaire pour créer des jetons CHI (les jetons CHI peuvent être utilisés pour une compensation en gaz). Après avoir accumulé un grand nombre de jetons CHI, le pirate peut brûler ces jetons pour recevoir un remboursement en gaz lorsque le contrat est détruit.
https://x.com/SlowMist_Team/status/1640614440294035456
Grâce à cette méthode, le pirate tire habilement profit des frais de gaz de l'utilisateur, tandis que l'utilisateur peut ne pas se rendre compte qu'il a payé des frais de gaz supplémentaires. L'utilisateur s'attendait initialement à tirer profit de la vente des jetons distribués par largage, mais a fini par perdre ses actifs natifs à la place.
https://x.com/evilcos/status/1593525621992599552
Pendant le processus de réclamation des airdrops, certains utilisateurs doivent télécharger des plugins pour des tâches telles que la traduction ou la vérification de la rareté des jetons. Cependant, la sécurité de ces plugins est douteuse et certains utilisateurs ne les téléchargent pas depuis des sources officielles, ce qui augmente considérablement le risque de télécharger des plugins avec des portes dérobées.
De plus, nous avons remarqué des services en ligne qui vendent des scripts pour revendiquer des airdrops, prétendant automatiser les interactions en lots de manière efficace. Cependant, veuillez noter que le téléchargement et l'exécution de scripts non vérifiés et non examinés est extrêmement risqué, car vous ne pouvez pas être certain de la source du script ou de ses fonctions réelles. Ces scripts peuvent contenir du code malveillant, posant des menaces potentielles telles que le vol de clés privées ou de phrases de récupération ou l'exécution d'autres actions non autorisées. De plus, certains utilisateurs, lorsqu'ils s'engagent dans ces types d'opérations risquées, n'ont pas installé d'antivirus ou l'ont désactivé, ce qui peut les empêcher de détecter si leur appareil a été compromis par des logiciels malveillants, entraînant ainsi des dommages supplémentaires.
Dans ce guide, nous avons mis en évidence les différents risques liés à la réclamation de largages en analysant les tactiques courantes d'escroquerie. Les largages sont une stratégie de marketing populaire, mais les utilisateurs peuvent réduire le risque de perte d'actifs pendant le processus en prenant les précautions suivantes :
Vérifiez attentivement : Vérifiez toujours les URL lorsque vous visitez des sites web d'airdrop. Confirmez-les via des comptes officiels ou des annonces, et envisagez d'installer des plugins de détection des risques de phishing comme Scam Sniffer.
Utilisez des portefeuilles SegreGated : Ne conservez que de petites sommes de fonds dans les portefeuilles utilisés pour les airdrops, tout en stockant des montants plus importants dans un portefeuille à froid.
Soyez prudent avec les largages aériens inconnus : n'interagissez pas avec ou n'approuvez pas les transactions impliquant des jetons de largage aérien provenant de sources inconnues.
Vérifiez les limites de gaz : Examinez toujours la limite de gaz avant de confirmer une transaction, surtout si elle semble anormalement élevée.
Utilisez un logiciel antivirus réputé : Gardez la protection en temps réel activée et mettez régulièrement à jour votre logiciel antivirus pour bloquer les dernières menaces.