Background

Em nosso último Guia Iniciante de Segurança Web3Desta vez, discutiremos uma tática de marketing popular usada tanto em indústrias tradicionais quanto no espaço de criptomoedas: airdrops.

Airdrops são uma maneira rápida para projetos ganharem visibilidade e construírem rapidamente uma base de usuários. Ao participar de projetos Web3, os usuários são solicitados a clicar em links e interagir com a equipe para reivindicar tokens, mas hackers têm armado armadilhas ao longo do processo. De sites falsos a ferramentas maliciosas ocultas, os riscos são reais. Neste guia, vamos detalhar os golpes de airdrop típicos e ajudá-lo a se proteger.

O que é um Airdrop?

Um airdrop é quando um projeto Web3 distribui tokens gratuitos para endereços de carteira específicos para aumentar a visibilidade e atrair usuários. Esta é uma maneira direta para os projetos ganharem tração. Os airdrops podem ser categorizados com base em como são reivindicados:

• Baseado em tarefas: Concluir tarefas específicas como compartilhar, curtir ou outras ações.
• Interativo: Complete ações como trocar tokens, enviar/receber tokens ou fazer operações cross-chain.
• Baseado em retenção: Mantenha certos tokens para ser elegível para airdrops.
• Baseado em Staking: Aposte tokens, forneça liquidez ou bloqueie ativos por um período para ganhar tokens airdrop.

Riscos ao reivindicar airdrops

Fraudes de Airdrop Falsas

Aqui estão alguns tipos comuns de golpes de airdrop falsos:

1. Hackers sequestram a conta oficial de um projeto para postar anúncios falsos de Airdrop. Muitas vezes vemos alertas como "A conta X ou a conta Discord de determinado projeto foi hackeada. Por favor, não clique no link de phishing postado pelo hacker." De acordo com o relatório de 2024 da SlowMist, houve 27 casos de contas de projetos hackeadas somente no primeiro semestre do ano. Usuários, confiando em contas oficiais, clicam nesses links e são levados a sites de phishing disfarçados de Airdrops. Se você inserir sua chave privada ou frase seed ou autorizar quaisquer permissões nesses sites, hackers podem roubar seus ativos.

1. Hackers usam cópias de alta fidelidade de contas de equipe do projeto para postar mensagens falsas na seção de comentários da conta oficial do projeto, atraindo usuários a clicarem em links de phishing. A equipe de segurança SlowMist analisou anteriormente esse método e forneceu contramedidas (ver Equipes de Projetos Falsos: Cuidado com Phishing na Seção de Comentários de Contas de Imitação). Além disso, após o anúncio oficial do projeto sobre o airdrop, hackers rapidamente criam contas falsas para postar muitas atualizações contendo links de phishing em plataformas sociais. Muitos usuários, incapazes de identificar as contas falsas, acabam instalando aplicativos fraudulentos ou abrindo sites de phishing onde realizam operações de autorização de assinatura.

(https://x.com/im23pds/status/1765577919819362702)

1. O terceiro método de golpe é ainda pior e é um golpe clássico. Os golpistas se escondem em grupos de projetos Web3, selecionam usuários-alvo e realizam ataques de engenharia social. Às vezes, eles usam airdrops como isca, "ensinando" os usuários a transferir tokens para receber airdrops. Os usuários devem permanecer vigilantes e não confiar facilmente em qualquer pessoa que entre em contato com eles como "atendimento oficial ao cliente" ou afirma "ensiná-los" como operar. Esses indivíduos são provavelmente golpistas. Você pode pensar que está apenas reivindicando um airdrop, mas acaba sofrendo pesadas perdas.

Tokens de Airdrop “Gratuitos”: Compreendendo os Riscos

Airdrops são comuns no espaço cripto, onde os usuários geralmente precisam completar certas tarefas para ganhar tokens gratuitos. No entanto, existem práticas maliciosas que se aproveitam dessas oportunidades. Por exemplo, hackers podem airdropar tokens sem valor real nas carteiras dos usuários. Esses usuários podem então tentar interagir com esses tokens - transferindo-os, verificando seu valor ou até mesmo negociando-os em exchanges descentralizadas. No entanto, após engenharia reversa de um contrato de NFT falso, descobrimos que as tentativas de transferir ou listar o NFT falham e uma mensagem de erro aparece: 'Visite o site para desbloquear seu item', induzindo os usuários a visitar um site de phishing.

Se os usuários caírem nessa e visitarem o site de phishing, os hackers podem realizar várias ações prejudiciais:

• Compra em massa de NFTs valiosos por meio de um mecanismo de "custo zero" (consulte Phishing de NFT sem custo“ para mais detalhes).
• Roubar aprovações de token de alto valor ou permissões de assinatura.
• Roubar os ativos nativos da carteira do usuário.

A seguir, vamos ver como os hackers usam um contrato malicioso cuidadosamente elaborado para roubar as taxas de gás dos usuários. Primeiro, o hacker cria um contrato malicioso chamado GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) na BSC, usando tokens airdropped para atrair usuários para interagir com ele. Quando os usuários interagem com este contrato malicioso, uma solicitação aparece para aprovar o contrato para usar tokens na carteira do usuário. Se o usuário aprovar esta solicitação, o contrato malicioso aumenta automaticamente o limite de gás com base no saldo da carteira do usuário, fazendo com que as transações subsequentes consumam mais taxas de gás.

Usando o limite de Gas alto fornecido pelo usuário, o contrato malicioso usa o Gas extra para cunhar tokens CHI (os tokens CHI podem ser usados para compensação de Gas). Após acumular uma grande quantidade de tokens CHI, o hacker pode queimar esses tokens para receber compensação de Gas quando o contrato for destruído.

(https://x.com/SlowMist_Team/status/1640614440294035456)

Através deste método, o hacker lucra astutamente com as taxas de gás do usuário, e o usuário pode nem mesmo perceber que pagou taxas de gás adicionais. Inicialmente, o usuário pensou que poderia lucrar vendendo os tokens airdropped, mas acabou tendo seus ativos nativos roubados.

Ferramentas com Backdoor

( https://x.com/evilcos/status/1593525621992599552)

No processo de reivindicação de airdrops, alguns usuários precisam baixar plugins para traduzir ou consultar a raridade de tokens, entre outras funções. A segurança desses plugins é questionável e alguns usuários os baixam de fontes não oficiais, aumentando o risco de baixar plugins com backdoors.

Além disso, notamos serviços online vendendo scripts de airdrop que afirmam automatizar interações em massa. Embora isso pareça eficiente, os usuários devem ter cuidado, pois baixar scripts não verificados é extremamente arriscado. Você não pode ter certeza da origem ou da funcionalidade real do script. Ele pode conter código malicioso, potencialmente ameaçando roubar chaves privadas ou frases semente ou realizar outras ações não autorizadas. Além disso, alguns usuários executam tais operações arriscadas sem software antivírus, o que pode levar a infecções por cavalos de Troia não detectadas, resultando em danos aos seus dispositivos.

Resumo

Este guia explicou principalmente os riscos associados à reivindicação de airdrops analisando golpes. Muitos projetos agora usam airdrops como uma ferramenta de marketing. Os usuários podem tomar as seguintes medidas para reduzir o risco de perda de ativos durante a reivindicação de airdrop:

• Multi-Verificação: Ao visitar um site de airdrop, verifique cuidadosamente a URL. Confirme através da conta oficial do projeto ou dos canais de anúncio. Você também pode instalar plugins de bloqueio de risco de phishing (como Scam Sniffer) para ajudar a identificar sites de phishing.
• Segmentação de Carteira: Use uma carteira com fundos pequenos para reivindicações de airdrop e armazene grandes quantidades em uma carteira fria.
• Tenha cuidado com tokens airdrop: seja cauteloso com tokens airdrop de fontes desconhecidas. Evite autorizar ou assinar transações com pressa.
• Verificar Limites de Gás: Preste atenção se o limite de gás para transações está excepcionalmente alto.
• Use software antivírus: Use um software antivírus bem conhecido (como Kaspersky, AVG, etc.) para habilitar proteção em tempo real e garantir que as definições de vírus estejam atualizadas.

Aviso Legal:

1. Este artigo é reproduzido de Tecnologia SlowMist, os direitos autorais pertencem ao autor original [SlowMist Security Team]. Se houver objeções a esta republicação, entre em contato com o Gate Learnequipe e eles vão lidar com isso prontamente.
2. Aviso de responsabilidade: As opiniões e pontos de vista expressos neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. A equipe da Learn da gate traduziu o artigo para outros idiomas. Copiar, distribuir ou plagiar os artigos traduzidos é proibido, a menos que mencionado.