في آخر دليل مبتدئي أمان ويب 3، ركزنا على الهجمات التصيدية التي تتضمن التواقيع المتعددة، بما في ذلك كيفية عمل التواقيع المتعددة، وما الذي يتسبب فيها، وكيفية منع استغلال محفظتك. في هذه المرة، سنناقش تكتيك تسويقي شائع يستخدم في كل من الصناعات التقليدية وفضاء العملات المشفرة: توزيعات مجانية.
التوزيعات المجانية هي وسيلة سريعة للمشاريع لكسب الرؤية وبناء قاعدة مستخدمين بسرعة. عند المشاركة في مشاريع Web3، يُطلب من المستخدمين النقر على الروابط والتفاعل مع الفريق للحصول على الرموز، ولكن القراصنة قاموا بإعداد فخاخ في جميع أنحاء العملية. من المواقع الوهمية إلى الأدوات الخبيثة المخفية، فإن المخاطر حقيقية. في هذا الدليل، سنقوم بتفكيك العمليات الاحتيالية النموذجية للتوزيعات المجانية ومساعدتك في حماية نفسك.
الايرو دروب هو عندما يوزع مشروع ويب 3 عملات مجانية إلى عناوين المحافظ الخاصة لزيادة الرؤية وجذب المستخدمين. هذه هي طريقة مباشرة للمشاريع لكسب قاعدة مستخدمين. يمكن تصنيف الايرو دروب على أساس كيفية طلبها:
إليك بعض أنواع الاحتيال الشائعة في توزيعات الهبوط المزيفة:
(https://x.com/im23pds/status/1765577919819362702)
عمليات الإنزال الجوي شائعة في مساحة التشفير ، حيث يحتاج المستخدمون عادة إلى إكمال مهام معينة لكسب الرموز المجانية. ومع ذلك ، هناك ممارسات ضارة تستفيد من هذه الفرص. على سبيل المثال ، قد يقوم المتسللون بإسقاط الرموز المميزة بدون قيمة فعلية في محافظ المستخدمين. قد يحاول هؤلاء المستخدمون بعد ذلك التفاعل مع هذه الرموز المميزة - نقلها أو التحقق من قيمتها أو حتى تداولها في البورصات اللامركزية. ولكن بعد إجراء هندسة عكسية لعقد Scam NFT ، وجدنا أن محاولات نقل NFT أو إدراجها تفشل ، وتظهر رسالة خطأ: "قم بزيارة موقع الويب لإلغاء قفل العنصر الخاص بك" ، مما يضلل المستخدمين لزيارة موقع تصيد احتيالي.
إذا قع المستخدمون في هذا الفخ وزاروا الموقع الذي يحتوي على صفحة تسجيل الدخول الخاصة بالمواقع الاحتيالية، يمكن للمتسللين القيام بعدة إجراءات ضارة:
بعد ذلك ، دعونا نلقي نظرة على كيفية استخدام المتسللين لعقد ضار تم صياغته بعناية لسرقة رسوم الغاز للمستخدمين. أولا ، يقوم المتسلل بإنشاء عقد ضار يسمى GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) على BSC ، باستخدام الرموز المميزة التي تم إسقاطها جوا لجذب المستخدمين للتفاعل معها. عندما يتفاعل المستخدمون مع هذا العقد الضار ، ينبثق طلب للموافقة على العقد لاستخدام الرموز المميزة في محفظة المستخدم. إذا وافق المستخدم على هذا الطلب ، فإن العقد الضار يزيد تلقائيا من حد الغاز بناء على رصيد محفظة المستخدم ، مما يتسبب في استهلاك المعاملات اللاحقة لمزيد من رسوم الغاز.
من خلال استخدام الحد الأقصى للغاز الذي يتم توفيره من قبل المستخدم، يستخدم العقد الخبيث الغاز الإضافي لإنتاج رموز CHI (يمكن استخدام رموز CHI لتعويض الغاز). بعد تراكم كمية كبيرة من رموز CHI، يمكن للقراصنة حرق هذه الرموز لتلقي تعويض الغاز عند تدمير العقد.
(https://x.com/SlowMist_Team/status/1640614440294035456)
من خلال هذه الطريقة، يحقق القراصنة ربحًا بذكاء من رسوم الغاز التي يدفعها المستخدم، وقد لا يدرك المستخدم حتى أنه قد دفع رسوم غاز إضافية. فكر المستخدم في البداية أنه يمكنه تحقيق ربح من بيع الرموز التي تم توزيعها مجانًا ولكنه اكتشف في النهاية أن أصوله الأصلية قد تمت سرقتها.
( https://x.com/evilcos/status/1593525621992599552)
في عملية المطالبة بالتوزيعات المجانية، يحتاج بعض المستخدمين إلى تنزيل إضافات لترجمة أو استعلام ندرة الرمز المميز، بين وظائف أخرى. أمان هذه الإضافات مشكوك فيه، وبعض المستخدمين يقومون بتنزيلها من مصادر غير رسمية، مما يزيد من خطر تنزيل إضافات تحتوي على برمجيات خبيثة.
بالإضافة إلى ذلك، لاحظنا خدمات عبر الإنترنت تبيع سكريبتات الهبوط الجوي التي تدعي أنها تقوم بتلقائي التفاعل بالجملة. على الرغم من أن هذا يبدو فعالًا، يجب على المستخدمين أن يكونوا حذرين لأن تحميل سكريبتات غير موثوقة يشكل خطرًا كبيرًا. لا يمكنك أن تكون متأكدًا من مصدر السكريبت أو وظيفته الحقيقية. قد يحتوي على رموز خبيثة، مما يهدد بسرقة المفاتيح الخاصة أو عبارات البذور أو القيام بإجراءات غير مصرح بها أخرى. علاوة على ذلك، يقوم بعض المستخدمين بتنفيذ عمليات خطرة من هذا النوع دون استخدام برامج مكافحة الفيروسات، مما قد يؤدي إلى إصابة طروادة غير مكتشفة، مما يتسبب في تلف أجهزتهم.
وتشرح هذه الدليل بشكل رئيسي المخاطر المرتبطة بالمطالبة بالتوزيعات الجوائزية عن طريق تحليل العمليات الاحتيالية. يستخدم العديد من المشاريع التوزيعات الجوائزية كأداة تسويقية الآن. يمكن للمستخدمين اتخاذ التدابير التالية للحد من مخاطر فقدان الأصول أثناء المطالبة بالتوزيعات الجوائزية:
في آخر دليل مبتدئي أمان ويب 3، ركزنا على الهجمات التصيدية التي تتضمن التواقيع المتعددة، بما في ذلك كيفية عمل التواقيع المتعددة، وما الذي يتسبب فيها، وكيفية منع استغلال محفظتك. في هذه المرة، سنناقش تكتيك تسويقي شائع يستخدم في كل من الصناعات التقليدية وفضاء العملات المشفرة: توزيعات مجانية.
التوزيعات المجانية هي وسيلة سريعة للمشاريع لكسب الرؤية وبناء قاعدة مستخدمين بسرعة. عند المشاركة في مشاريع Web3، يُطلب من المستخدمين النقر على الروابط والتفاعل مع الفريق للحصول على الرموز، ولكن القراصنة قاموا بإعداد فخاخ في جميع أنحاء العملية. من المواقع الوهمية إلى الأدوات الخبيثة المخفية، فإن المخاطر حقيقية. في هذا الدليل، سنقوم بتفكيك العمليات الاحتيالية النموذجية للتوزيعات المجانية ومساعدتك في حماية نفسك.
الايرو دروب هو عندما يوزع مشروع ويب 3 عملات مجانية إلى عناوين المحافظ الخاصة لزيادة الرؤية وجذب المستخدمين. هذه هي طريقة مباشرة للمشاريع لكسب قاعدة مستخدمين. يمكن تصنيف الايرو دروب على أساس كيفية طلبها:
إليك بعض أنواع الاحتيال الشائعة في توزيعات الهبوط المزيفة:
(https://x.com/im23pds/status/1765577919819362702)
عمليات الإنزال الجوي شائعة في مساحة التشفير ، حيث يحتاج المستخدمون عادة إلى إكمال مهام معينة لكسب الرموز المجانية. ومع ذلك ، هناك ممارسات ضارة تستفيد من هذه الفرص. على سبيل المثال ، قد يقوم المتسللون بإسقاط الرموز المميزة بدون قيمة فعلية في محافظ المستخدمين. قد يحاول هؤلاء المستخدمون بعد ذلك التفاعل مع هذه الرموز المميزة - نقلها أو التحقق من قيمتها أو حتى تداولها في البورصات اللامركزية. ولكن بعد إجراء هندسة عكسية لعقد Scam NFT ، وجدنا أن محاولات نقل NFT أو إدراجها تفشل ، وتظهر رسالة خطأ: "قم بزيارة موقع الويب لإلغاء قفل العنصر الخاص بك" ، مما يضلل المستخدمين لزيارة موقع تصيد احتيالي.
إذا قع المستخدمون في هذا الفخ وزاروا الموقع الذي يحتوي على صفحة تسجيل الدخول الخاصة بالمواقع الاحتيالية، يمكن للمتسللين القيام بعدة إجراءات ضارة:
بعد ذلك ، دعونا نلقي نظرة على كيفية استخدام المتسللين لعقد ضار تم صياغته بعناية لسرقة رسوم الغاز للمستخدمين. أولا ، يقوم المتسلل بإنشاء عقد ضار يسمى GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) على BSC ، باستخدام الرموز المميزة التي تم إسقاطها جوا لجذب المستخدمين للتفاعل معها. عندما يتفاعل المستخدمون مع هذا العقد الضار ، ينبثق طلب للموافقة على العقد لاستخدام الرموز المميزة في محفظة المستخدم. إذا وافق المستخدم على هذا الطلب ، فإن العقد الضار يزيد تلقائيا من حد الغاز بناء على رصيد محفظة المستخدم ، مما يتسبب في استهلاك المعاملات اللاحقة لمزيد من رسوم الغاز.
من خلال استخدام الحد الأقصى للغاز الذي يتم توفيره من قبل المستخدم، يستخدم العقد الخبيث الغاز الإضافي لإنتاج رموز CHI (يمكن استخدام رموز CHI لتعويض الغاز). بعد تراكم كمية كبيرة من رموز CHI، يمكن للقراصنة حرق هذه الرموز لتلقي تعويض الغاز عند تدمير العقد.
(https://x.com/SlowMist_Team/status/1640614440294035456)
من خلال هذه الطريقة، يحقق القراصنة ربحًا بذكاء من رسوم الغاز التي يدفعها المستخدم، وقد لا يدرك المستخدم حتى أنه قد دفع رسوم غاز إضافية. فكر المستخدم في البداية أنه يمكنه تحقيق ربح من بيع الرموز التي تم توزيعها مجانًا ولكنه اكتشف في النهاية أن أصوله الأصلية قد تمت سرقتها.
( https://x.com/evilcos/status/1593525621992599552)
في عملية المطالبة بالتوزيعات المجانية، يحتاج بعض المستخدمين إلى تنزيل إضافات لترجمة أو استعلام ندرة الرمز المميز، بين وظائف أخرى. أمان هذه الإضافات مشكوك فيه، وبعض المستخدمين يقومون بتنزيلها من مصادر غير رسمية، مما يزيد من خطر تنزيل إضافات تحتوي على برمجيات خبيثة.
بالإضافة إلى ذلك، لاحظنا خدمات عبر الإنترنت تبيع سكريبتات الهبوط الجوي التي تدعي أنها تقوم بتلقائي التفاعل بالجملة. على الرغم من أن هذا يبدو فعالًا، يجب على المستخدمين أن يكونوا حذرين لأن تحميل سكريبتات غير موثوقة يشكل خطرًا كبيرًا. لا يمكنك أن تكون متأكدًا من مصدر السكريبت أو وظيفته الحقيقية. قد يحتوي على رموز خبيثة، مما يهدد بسرقة المفاتيح الخاصة أو عبارات البذور أو القيام بإجراءات غير مصرح بها أخرى. علاوة على ذلك، يقوم بعض المستخدمين بتنفيذ عمليات خطرة من هذا النوع دون استخدام برامج مكافحة الفيروسات، مما قد يؤدي إلى إصابة طروادة غير مكتشفة، مما يتسبب في تلف أجهزتهم.
وتشرح هذه الدليل بشكل رئيسي المخاطر المرتبطة بالمطالبة بالتوزيعات الجوائزية عن طريق تحليل العمليات الاحتيالية. يستخدم العديد من المشاريع التوزيعات الجوائزية كأداة تسويقية الآن. يمكن للمستخدمين اتخاذ التدابير التالية للحد من مخاطر فقدان الأصول أثناء المطالبة بالتوزيعات الجوائزية: