Arrière-plan

Dans notre précédent guide sur la sécurité Web3, nous avons abordé le sujet du phishing multisig, en discutant demécanique des portefeuilles multisig, comment les attaquants les exploitent et comment protéger votre portefeuille contre les signatures malveillantes. Dans cette édition, nous nous pencherons sur une tactique marketing largement utilisée à la fois dans les industries traditionnelles et crypto - les airdrops.

Les airdrops peuvent propulser rapidement un projet de l'obscurité à la lumière, l'aidant à construire rapidement une base d'utilisateurs et à améliorer sa visibilité sur le marché. En général, les utilisateurs participent aux projets Web3 en cliquant sur des liens et en interagissant avec le projet pour réclamer des jetons airdropés. Cependant, des sites Web contrefaits aux outils infectés par des portes dérobées, les pirates ont tendu des pièges tout au long du processus d'airdrop. Ce guide analysera les arnaques courantes des airdrops pour vous aider à éviter ces pièges.

Qu'est-ce qu'un Airdrop?

Un airdrop se produit lorsqu’un projet Web3 distribue des jetons gratuits à des adresses de portefeuille spécifiques pour augmenter sa visibilité et attirer les premiers utilisateurs. C’est l’une des méthodes les plus directes pour les projets afin d’acquérir une base d’utilisateurs. Les parachutages peuvent généralement être classés dans les types suivants en fonction de la façon dont ils sont réclamés :

• Basé sur les tâches : accomplir des tâches spécifiées par le projet, telles que le partage de contenu ou l'aimement de publications.

• Interaction-Based: Effectuer des actions telles que des échanges de jetons, l'envoi/la réception de jetons ou des opérations inter-chaînes.

• Basé sur la détention : Détention de jetons spécifiés du projet pour être éligible à l'airdrop.

• Basé sur le staking : Gagner des jetons airdropés en stakant un seul ou deux actifs, en fournissant de la liquidité ou en verrouillant des jetons à long terme.

Risques liés à la réclamation d’airdrops

Faux escroqueries Airdrop

Ces escroqueries peuvent être divisées en plusieurs types :

1. Comptes officiels piratés : les pirates peuvent prendre le contrôle du compte officiel d’un projet et publier de fausses annonces de parachutage. Par exemple, il est courant de voir des alertes sur les plateformes d’actualités telles que « Le compte X ou Discord du projet Y a été piraté ; Ne cliquez pas sur les liens d’hameçonnage partagés par le pirate. Selon notre rapport semestriel 2024 sur la sécurité de la blockchain et la lutte contre le blanchiment d’argent, il y a eu 27 incidents de ce type au cours du seul premier semestre 2024. Les utilisateurs, faisant confiance au compte officiel, peuvent cliquer sur ces liens et être redirigés vers des sites d’hameçonnage déguisés en pages d’airdrop. S’ils saisissent leurs clés privées, leurs phrases de récupération ou accordent des autorisations, les pirates peuvent voler leurs actifs.

1. Impersonation dans les sections de commentaires : les pirates créent souvent de faux comptes de projet et publient des commentaires sur les canaux de médias sociaux du projet réel, prétendant offrir des airdrops. Les utilisateurs qui ne sont pas prudents peuvent suivre ces liens vers des sites de phishing. Par exemple, l'équipe de sécurité SlowMist a précédemment analysé ces tactiques et a fourni des recommandations dans un article intitulé « Méfiez-vous de l'usurpation d'identité dans les sections de commentaires ». De plus, après l'annonce d'un airdrop légitime, les pirates répondent rapidement en publiant des liens de phishing à l'aide de faux comptes qui ressemblent aux comptes officiels. De nombreux utilisateurs ont été trompés en installant des applications malveillantes ou en signant des transactions sur des sites de phishing.

1. Attaques d’ingénierie sociale : Dans certains cas, les escrocs infiltrent les groupes de projet Web3, ciblent des utilisateurs spécifiques et utilisent des techniques d’ingénierie sociale pour les tromper. Ils peuvent se faire passer pour des membres du personnel de soutien ou des membres serviables de la communauté, proposant de guider les utilisateurs tout au long du processus de demande d’un parachutage, uniquement pour voler leurs actifs. Les utilisateurs doivent rester vigilants et ne pas faire confiance aux offres d’aide non sollicitées de personnes prétendant être des représentants officiels.

Jetons d'Airdrop "gratuits"

Alors que la plupart des airdrops demandent aux utilisateurs de remplir des tâches, il arrive que des jetons apparaissent dans votre portefeuille sans aucune action de votre part. Les hackers font souvent tomber des jetons sans valeur dans votre portefeuille, espérant que vous interagirez avec eux en les transférant, en les visualisant ou en essayant de les échanger sur une bourse décentralisée. Cependant, en essayant d'interagir avec ces NFTs escrocs, vous pouvez rencontrer un message d'erreur vous invitant à visiter un site Web pour "débloquer votre objet". Il s'agit d'un piège qui mène à un site de phishing.

Si un utilisateur visite le site Web d’hameçonnage lié par un NFT frauduleux, le pirate peut effectuer les actions suivantes :

• Effectuez un achat à « coût zéro » de NFT de valeur (reportez-vous à l'analyse de phishing NFT pour l'achat à « coût zéro »).

• Voler des jetons de grande valeur grâce à l'autorisation Approve ou aux signatures Permit.

• Emporter des actifs natifs.

Ensuite, examinons comment les pirates informatiques peuvent voler les frais de gaz des utilisateurs grâce à un contrat malveillant soigneusement conçu.

Tout d'abord, le pirate informatique a créé un contrat malveillant nommé GPT sur la Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) et a attiré les utilisateurs à interagir avec lui en larguant des jetons.

Lorsque les utilisateurs interagissent avec ce contrat malveillant, ils sont invités à approuver l’utilisation des tokens dans leur portefeuille par le contrat. Si l’utilisateur approuve cette demande, le contrat malveillant augmente automatiquement la limite de gaz en fonction du solde du portefeuille de l’utilisateur, ce qui entraîne une consommation de gaz plus élevée lors des transactions ultérieures.

En exploitant la limite de gaz élevée fournie par l'utilisateur, le contrat malveillant utilise le gaz excédentaire pour créer des jetons CHI (les jetons CHI peuvent être utilisés pour une compensation en gaz). Après avoir accumulé un grand nombre de jetons CHI, le pirate peut brûler ces jetons pour recevoir un remboursement en gaz lorsque le contrat est détruit.

https://x.com/SlowMist_Team/status/1640614440294035456

Grâce à cette méthode, le pirate tire habilement profit des frais de gaz de l'utilisateur, tandis que l'utilisateur peut ne pas se rendre compte qu'il a payé des frais de gaz supplémentaires. L'utilisateur s'attendait initialement à tirer profit de la vente des jetons distribués par largage, mais a fini par perdre ses actifs natifs à la place.

Outils de Porte D'entrée

https://x.com/evilcos/status/1593525621992599552

Pendant le processus de réclamation des airdrops, certains utilisateurs doivent télécharger des plugins pour des tâches telles que la traduction ou la vérification de la rareté des jetons. Cependant, la sécurité de ces plugins est douteuse et certains utilisateurs ne les téléchargent pas depuis des sources officielles, ce qui augmente considérablement le risque de télécharger des plugins avec des portes dérobées.

De plus, nous avons remarqué des services en ligne qui vendent des scripts pour revendiquer des airdrops, prétendant automatiser les interactions en lots de manière efficace. Cependant, veuillez noter que le téléchargement et l'exécution de scripts non vérifiés et non examinés est extrêmement risqué, car vous ne pouvez pas être certain de la source du script ou de ses fonctions réelles. Ces scripts peuvent contenir du code malveillant, posant des menaces potentielles telles que le vol de clés privées ou de phrases de récupération ou l'exécution d'autres actions non autorisées. De plus, certains utilisateurs, lorsqu'ils s'engagent dans ces types d'opérations risquées, n'ont pas installé d'antivirus ou l'ont désactivé, ce qui peut les empêcher de détecter si leur appareil a été compromis par des logiciels malveillants, entraînant ainsi des dommages supplémentaires.

Conclusion

Dans ce guide, nous avons mis en évidence les différents risques liés à la réclamation de largages en analysant les tactiques courantes d'escroquerie. Les largages sont une stratégie de marketing populaire, mais les utilisateurs peuvent réduire le risque de perte d'actifs pendant le processus en prenant les précautions suivantes :

• Vérifiez attentivement : Vérifiez toujours les URL lorsque vous visitez des sites web d'airdrop. Confirmez-les via des comptes officiels ou des annonces, et envisagez d'installer des plugins de détection des risques de phishing comme Scam Sniffer.

• Utilisez des portefeuilles SegreGated : Ne conservez que de petites sommes de fonds dans les portefeuilles utilisés pour les airdrops, tout en stockant des montants plus importants dans un portefeuille à froid.

• Soyez prudent avec les largages aériens inconnus : n'interagissez pas avec ou n'approuvez pas les transactions impliquant des jetons de largage aérien provenant de sources inconnues.

• Vérifiez les limites de gaz : Examinez toujours la limite de gaz avant de confirmer une transaction, surtout si elle semble anormalement élevée.

• Utilisez un logiciel antivirus réputé : Gardez la protection en temps réel activée et mettez régulièrement à jour votre logiciel antivirus pour bloquer les dernières menaces.

Avertissement :

1. Cet article est repris de [SunSec], Tous les droits d'auteur appartiennent à l'auteur original [SlowMist]. Si vous avez des objections à cette réimpression, veuillez contacter le Apprendre Gatel'équipe et ils s'en occuperont rapidement.
2. Clause de non-responsabilité: les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont réalisées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.