index
index
Comece aqui
Cursos
Artigos
TudoAltcoinsBitcoinBlockchainDeFiEthereumMetaversoNFTsNegociaçãoTutorialFuturos Bots de NegociaçãoBRC-20GameFiDAOMacroCarteiraInscriptionTecnologiamemeIASocialFiDePinStablecoinLiquid StakingFinançasRWABlocos ModularesProva de Conhecimento ZeroRestakingFerramentas de CriptoAirdropProdutos GateSegurançaAnálise do ProjetoCryptoPulsePesquisaEcossistema TONLayer 2SolanaPagamentosMineração
Glossário
Pesquisa
Meus favoritos
Creator Incentive
Atividades
Arena do criador
Embaixador do campus
Festival de criadores de vídeo
Desafio Diário de Estudo
Desafio Masterclass
Entrar
Criar conta
Escaneie o QR Code para baixar o app para celular
Selecione o idioma e a região
简体中文EnglishTiếng Việt繁體中文РусскийPortuguês (Portugal)ไทยIndonesia日本語بالعربيةУкраїнськаPortuguês (Brasil)
Cor de subida/descida
Hora de início e término da alteração
Learn
Um Guia Iniciante para a Segurança da Web3: Como Evitar Golpes de Airdrop

Um Guia Iniciante para a Segurança da Web3: Como Evitar Golpes de Airdrop

iniciantes9/15/2024, 6:25:09 PM
Airdrops podem rapidamente impulsionar um projeto da obscuridade para o destaque, ajudando-o a construir rapidamente uma base de usuários e aumentar a visibilidade de mercado. No entanto, de sites falsos a ferramentas com portas dos fundos, os hackers têm armado armadilhas ao longo do processo de airdrop. Este guia analisará golpes de airdrop comuns para ajudá-lo a evitar essas armadilhas.
TutorialAirdrop

Antecedentes

Em nosso guia anterior sobre segurança Web3, abordamos o tema de phishing multi-assinatura, discutindo omecânica das carteiras multisig, como os atacantes os exploram e como proteger sua carteira de assinaturas maliciosas. Nesta edição, vamos nos aprofundar em uma tática de marketing amplamente utilizada tanto nas indústrias tradicionais quanto nas de criptomoedas - airdrops.

Airdrops podem impulsionar rapidamente um projeto da obscuridade para a visibilidade, ajudando a construir rapidamente uma base de usuários e aumentar a visibilidade de mercado. Normalmente, os usuários participam de projetos Web3 clicando em links e interagindo com o projeto para reivindicar tokens airdropped. No entanto, desde sites falsificados até ferramentas com backdoors, os hackers têm armado armadilhas durante todo o processo de airdrop. Este guia analisará golpes comuns de airdrop para ajudá-lo a evitar essas armadilhas.

O que é um Airdrop?

Um airdrop ocorre quando um projeto Web3 distribui tokens gratuitos para endereços de carteira específicos para aumentar sua visibilidade e atrair usuários iniciais. Esse é um dos métodos mais diretos para que os projetos ganhem uma base de usuários. Os Airdrops geralmente podem ser categorizados nos seguintes tipos com base em como eles são reivindicados:

  • Baseado em tarefas: Completar tarefas especificadas pelo projeto, como compartilhar conteúdo ou curtir postagens.

  • Baseado em interação: executa ações como trocas de tokens, envio/recebimento de tokens ou operações entre cadeias.

  • Baseado em Posse: Segurar tokens especificados do projeto para se qualificar para o airdrop.

  • Baseado em Staking: Ganhar tokens distribuídos através de staking de um ou dois ativos, fornecendo liquidez ou bloqueio de token a longo prazo.

Riscos ao Reivindicar Airdrops

Fraudes de Airdrop Falsas

Esses golpes podem ser divididos em vários tipos:

  1. Contas Oficiais Sequestradas: Hackers podem tomar controle da conta oficial de um projeto e postar anúncios falsos de airdrop. Por exemplo, é comum ver alertas em plataformas de notícias como “A conta X ou Discord do Projeto Y foi hackeada; não clique em links de phishing compartilhados pelo hacker.” De acordo com nosso Relatório de Segurança em Blockchain e Combate à Lavagem de Dinheiro do primeiro semestre de 2024, houve 27 incidentes desse tipo apenas no primeiro semestre de 2024. Usuários, confiando na conta oficial, podem clicar nesses links e ser redirecionados para sites de phishing disfarçados como páginas de airdrop. Se eles inserirem suas chaves privadas, frases semente ou concederem permissões, hackers podem roubar seus ativos.

  1. Impersonação em Seções de Comentários: Hackers frequentemente criam contas falsas de projetos e postam nos comentários dos canais de mídia social do projeto real, alegando oferecer airdrops. Usuários que não estão atentos podem seguir esses links para sites de phishing. Por exemplo, a equipe de segurança da SlowMist já analisou essas táticas e forneceu recomendações em um artigo intitulado “Cuidado com a Impersonação em Seções de Comentários.” Além disso, após o anúncio de um airdrop legítimo, os hackers rapidamente respondem postando links de phishing usando contas falsas que se assemelham às oficiais. Muitos usuários foram enganados a instalar aplicativos maliciosos ou assinar transações em sites de phishing.

  1. Ataques de Engenharia Social: Em alguns casos, golpistas infiltram-se em grupos de projetos Web3, visam usuários específicos e usam técnicas de engenharia social para enganá-los. Eles podem se passar por funcionários de suporte ou membros úteis da comunidade, oferecendo-se para orientar os usuários no processo de reivindicar um airdrop, apenas para roubar seus ativos. Os usuários devem permanecer vigilantes e não confiar em ofertas não solicitadas de ajuda de indivíduos que afirmam ser representantes oficiais.

Tokens de Airdrop "Grátis"

Embora a maioria dos airdrops exija que os usuários concluam tarefas, há casos em que os tokens aparecem em sua carteira sem qualquer ação de sua parte. Os hackers geralmente enviam tokens inúteis para sua carteira, esperando que você interaja com eles transferindo, visualizando ou tentando negociá-los em uma exchange descentralizada. No entanto, ao tentar interagir com esses NFTs fraudulentos, você pode encontrar uma mensagem de erro solicitando que você visite um site para "desbloquear seu item". Esta é uma armadilha que leva a um site de phishing.

Se um usuário visitar o site de phishing vinculado por um NFT fraudulento, o hacker pode realizar as seguintes ações:

  • Realize uma “compra sem custos” de NFTs valiosos (consulte a análise de phishing de NFTs de “compra sem custos”).

  • Roubar tokens de alto valor através da autorização Approve ou assinaturas Permit.

  • Retire os ativos nativos.

Em seguida, vamos examinar como os hackers podem roubar as taxas de gás dos usuários através de um contrato malicioso cuidadosamente projetado.

Primeiro, o hacker criou um contrato malicioso chamado GPT na Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) e atraiu usuários para interagir com ele distribuindo tokens.

Quando os usuários interagem com este contrato malicioso, eles são solicitados a aprovar o uso de tokens do contrato em sua carteira. Se o usuário aprova essa solicitação, o contrato malicioso aumenta automaticamente o limite de gás com base no saldo da carteira do usuário, levando a um maior consumo de gás em transações subsequentes.

Ao explorar o limite de gás alto fornecido pelo usuário, o contrato malicioso usa o gás excedente para criar tokens CHI (os tokens CHI podem ser usados como compensação de gás). Após acumular um grande número de tokens CHI, o hacker pode queimar esses tokens para receber um reembolso de gás quando o contrato for destruído.

https://x.com/SlowMist_Team/status/1640614440294035456

Através deste método, o hacker lucra astutamente com as taxas de gás do usuário, enquanto o usuário pode estar inconsciente de que pagou taxas de gás extras. O usuário inicialmente esperava lucrar vendendo os tokens airdropped, mas acabou perdendo seus ativos nativos.

Ferramentas de Porta dos Fundos

https://x.com/evilcos/status/1593525621992599552

Durante o processo de reivindicação de airdrops, alguns usuários precisam baixar plugins para tarefas como tradução ou verificação da raridade de tokens. No entanto, a segurança desses plugins é questionável e alguns usuários não os baixam de fontes oficiais, aumentando significativamente o risco de baixar plugins com backdoors.

Além disso, notamos serviços online que vendem scripts para reivindicar airdrops, alegando automatizar interações em lote de forma eficiente. No entanto, esteja ciente de que baixar e executar scripts não verificados e não revisados é extremamente arriscado, pois você não pode ter certeza da origem do script ou de suas funções reais. Esses scripts podem conter código malicioso, representando ameaças potenciais, como roubo de chaves privadas ou frases-senha, ou execução de outras ações não autorizadas. Além disso, alguns usuários, ao realizar esses tipos de operações arriscadas, ou não têm software antivírus instalado ou o têm desativado, o que pode impedi-los de detectar se seu dispositivo foi comprometido por malware, resultando em danos adicionais.

Conclusão

Neste guia, destacamos os vários riscos associados à reivindicação de airdrops, analisando táticas comuns de golpes. Os airdrops são uma estratégia de marketing popular, mas os usuários podem reduzir o risco de perda de ativos durante o processo tomando as seguintes precauções:

  • Verifique minuciosamente: Sempre verifique duas vezes os URLs ao visitar sites de airdrop. Confirme-os através de contas ou anúncios oficiais e considere instalar plugins de detecção de risco de phishing como Scam Sniffer.

  • Use Carteiras SegreGadas: Mantenha apenas pequenas quantidades de fundos em carteiras usadas para airdrops, enquanto armazena quantidades maiores em uma carteira fria.

  • Seja cauteloso com airdrops desconhecidos: não interaja nem aprove transações envolvendo tokens airdrop de fontes desconhecidas.

  • Verificar Limites de Gás: Sempre revise o limite de gás antes de confirmar uma transação, especialmente se parecer excepcionalmente alto.

  • Use software antivírus confiável: Mantenha a proteção em tempo real ativada e atualize regularmente o seu software antivírus para garantir que as últimas ameaças sejam bloqueadas.

Aviso Legal:

  1. Este artigo é reproduzido a partir de [SunSec], Todos os direitos autorais pertencem ao autor original [SlowMist]. Se houver objeções a este reenvio, entre em contato com oGate Learnequipe e eles lidarão com isso prontamente.
  2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. A menos que seja mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.

Background

O que é um Airdrop?

Riscos na reivindicação de Airdrops

Ferramentas de Backdoor

Conclusão

Um Guia Iniciante para a Segurança da Web3: Como Evitar Golpes de Airdrop

iniciantes9/15/2024, 6:25:09 PM
Airdrops podem rapidamente impulsionar um projeto da obscuridade para o destaque, ajudando-o a construir rapidamente uma base de usuários e aumentar a visibilidade de mercado. No entanto, de sites falsos a ferramentas com portas dos fundos, os hackers têm armado armadilhas ao longo do processo de airdrop. Este guia analisará golpes de airdrop comuns para ajudá-lo a evitar essas armadilhas.
TutorialAirdrop

Background

O que é um Airdrop?

Riscos na reivindicação de Airdrops

Ferramentas de Backdoor

Conclusão

Antecedentes

Em nosso guia anterior sobre segurança Web3, abordamos o tema de phishing multi-assinatura, discutindo omecânica das carteiras multisig, como os atacantes os exploram e como proteger sua carteira de assinaturas maliciosas. Nesta edição, vamos nos aprofundar em uma tática de marketing amplamente utilizada tanto nas indústrias tradicionais quanto nas de criptomoedas - airdrops.

Airdrops podem impulsionar rapidamente um projeto da obscuridade para a visibilidade, ajudando a construir rapidamente uma base de usuários e aumentar a visibilidade de mercado. Normalmente, os usuários participam de projetos Web3 clicando em links e interagindo com o projeto para reivindicar tokens airdropped. No entanto, desde sites falsificados até ferramentas com backdoors, os hackers têm armado armadilhas durante todo o processo de airdrop. Este guia analisará golpes comuns de airdrop para ajudá-lo a evitar essas armadilhas.

O que é um Airdrop?

Um airdrop ocorre quando um projeto Web3 distribui tokens gratuitos para endereços de carteira específicos para aumentar sua visibilidade e atrair usuários iniciais. Esse é um dos métodos mais diretos para que os projetos ganhem uma base de usuários. Os Airdrops geralmente podem ser categorizados nos seguintes tipos com base em como eles são reivindicados:

  • Baseado em tarefas: Completar tarefas especificadas pelo projeto, como compartilhar conteúdo ou curtir postagens.

  • Baseado em interação: executa ações como trocas de tokens, envio/recebimento de tokens ou operações entre cadeias.

  • Baseado em Posse: Segurar tokens especificados do projeto para se qualificar para o airdrop.

  • Baseado em Staking: Ganhar tokens distribuídos através de staking de um ou dois ativos, fornecendo liquidez ou bloqueio de token a longo prazo.

Riscos ao Reivindicar Airdrops

Fraudes de Airdrop Falsas

Esses golpes podem ser divididos em vários tipos:

  1. Contas Oficiais Sequestradas: Hackers podem tomar controle da conta oficial de um projeto e postar anúncios falsos de airdrop. Por exemplo, é comum ver alertas em plataformas de notícias como “A conta X ou Discord do Projeto Y foi hackeada; não clique em links de phishing compartilhados pelo hacker.” De acordo com nosso Relatório de Segurança em Blockchain e Combate à Lavagem de Dinheiro do primeiro semestre de 2024, houve 27 incidentes desse tipo apenas no primeiro semestre de 2024. Usuários, confiando na conta oficial, podem clicar nesses links e ser redirecionados para sites de phishing disfarçados como páginas de airdrop. Se eles inserirem suas chaves privadas, frases semente ou concederem permissões, hackers podem roubar seus ativos.

  1. Impersonação em Seções de Comentários: Hackers frequentemente criam contas falsas de projetos e postam nos comentários dos canais de mídia social do projeto real, alegando oferecer airdrops. Usuários que não estão atentos podem seguir esses links para sites de phishing. Por exemplo, a equipe de segurança da SlowMist já analisou essas táticas e forneceu recomendações em um artigo intitulado “Cuidado com a Impersonação em Seções de Comentários.” Além disso, após o anúncio de um airdrop legítimo, os hackers rapidamente respondem postando links de phishing usando contas falsas que se assemelham às oficiais. Muitos usuários foram enganados a instalar aplicativos maliciosos ou assinar transações em sites de phishing.

  1. Ataques de Engenharia Social: Em alguns casos, golpistas infiltram-se em grupos de projetos Web3, visam usuários específicos e usam técnicas de engenharia social para enganá-los. Eles podem se passar por funcionários de suporte ou membros úteis da comunidade, oferecendo-se para orientar os usuários no processo de reivindicar um airdrop, apenas para roubar seus ativos. Os usuários devem permanecer vigilantes e não confiar em ofertas não solicitadas de ajuda de indivíduos que afirmam ser representantes oficiais.

Tokens de Airdrop "Grátis"

Embora a maioria dos airdrops exija que os usuários concluam tarefas, há casos em que os tokens aparecem em sua carteira sem qualquer ação de sua parte. Os hackers geralmente enviam tokens inúteis para sua carteira, esperando que você interaja com eles transferindo, visualizando ou tentando negociá-los em uma exchange descentralizada. No entanto, ao tentar interagir com esses NFTs fraudulentos, você pode encontrar uma mensagem de erro solicitando que você visite um site para "desbloquear seu item". Esta é uma armadilha que leva a um site de phishing.

Se um usuário visitar o site de phishing vinculado por um NFT fraudulento, o hacker pode realizar as seguintes ações:

  • Realize uma “compra sem custos” de NFTs valiosos (consulte a análise de phishing de NFTs de “compra sem custos”).

  • Roubar tokens de alto valor através da autorização Approve ou assinaturas Permit.

  • Retire os ativos nativos.

Em seguida, vamos examinar como os hackers podem roubar as taxas de gás dos usuários através de um contrato malicioso cuidadosamente projetado.

Primeiro, o hacker criou um contrato malicioso chamado GPT na Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) e atraiu usuários para interagir com ele distribuindo tokens.

Quando os usuários interagem com este contrato malicioso, eles são solicitados a aprovar o uso de tokens do contrato em sua carteira. Se o usuário aprova essa solicitação, o contrato malicioso aumenta automaticamente o limite de gás com base no saldo da carteira do usuário, levando a um maior consumo de gás em transações subsequentes.

Ao explorar o limite de gás alto fornecido pelo usuário, o contrato malicioso usa o gás excedente para criar tokens CHI (os tokens CHI podem ser usados como compensação de gás). Após acumular um grande número de tokens CHI, o hacker pode queimar esses tokens para receber um reembolso de gás quando o contrato for destruído.

https://x.com/SlowMist_Team/status/1640614440294035456

Através deste método, o hacker lucra astutamente com as taxas de gás do usuário, enquanto o usuário pode estar inconsciente de que pagou taxas de gás extras. O usuário inicialmente esperava lucrar vendendo os tokens airdropped, mas acabou perdendo seus ativos nativos.

Ferramentas de Porta dos Fundos

https://x.com/evilcos/status/1593525621992599552

Durante o processo de reivindicação de airdrops, alguns usuários precisam baixar plugins para tarefas como tradução ou verificação da raridade de tokens. No entanto, a segurança desses plugins é questionável e alguns usuários não os baixam de fontes oficiais, aumentando significativamente o risco de baixar plugins com backdoors.

Além disso, notamos serviços online que vendem scripts para reivindicar airdrops, alegando automatizar interações em lote de forma eficiente. No entanto, esteja ciente de que baixar e executar scripts não verificados e não revisados é extremamente arriscado, pois você não pode ter certeza da origem do script ou de suas funções reais. Esses scripts podem conter código malicioso, representando ameaças potenciais, como roubo de chaves privadas ou frases-senha, ou execução de outras ações não autorizadas. Além disso, alguns usuários, ao realizar esses tipos de operações arriscadas, ou não têm software antivírus instalado ou o têm desativado, o que pode impedi-los de detectar se seu dispositivo foi comprometido por malware, resultando em danos adicionais.

Conclusão

Neste guia, destacamos os vários riscos associados à reivindicação de airdrops, analisando táticas comuns de golpes. Os airdrops são uma estratégia de marketing popular, mas os usuários podem reduzir o risco de perda de ativos durante o processo tomando as seguintes precauções:

  • Verifique minuciosamente: Sempre verifique duas vezes os URLs ao visitar sites de airdrop. Confirme-os através de contas ou anúncios oficiais e considere instalar plugins de detecção de risco de phishing como Scam Sniffer.

  • Use Carteiras SegreGadas: Mantenha apenas pequenas quantidades de fundos em carteiras usadas para airdrops, enquanto armazena quantidades maiores em uma carteira fria.

  • Seja cauteloso com airdrops desconhecidos: não interaja nem aprove transações envolvendo tokens airdrop de fontes desconhecidas.

  • Verificar Limites de Gás: Sempre revise o limite de gás antes de confirmar uma transação, especialmente se parecer excepcionalmente alto.

  • Use software antivírus confiável: Mantenha a proteção em tempo real ativada e atualize regularmente o seu software antivírus para garantir que as últimas ameaças sejam bloqueadas.

Aviso Legal:

  1. Este artigo é reproduzido a partir de [SunSec], Todos os direitos autorais pertencem ao autor original [SlowMist]. Se houver objeções a este reenvio, entre em contato com oGate Learnequipe e eles lidarão com isso prontamente.
  2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. A menos que seja mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.
Comece agora
Inscreva-se e ganhe um cupom de
$100
!