Antecedentes

No nosso último Guia Iniciante de Segurança Web3, focámo-nos em ataques de phishing envolvendo múltiplas assinaturas, incluindo como funcionam as múltiplas assinaturas, o que as causa e como evitar que a sua carteira seja explorada. Desta vez, discutiremos uma tática de marketing popular usada tanto em indústrias tradicionais como no espaço das criptomoedas: airdrops.

Os airdrops são uma forma rápida para os projetos ganharem visibilidade e criarem rapidamente uma base de usuários. Ao participar de projetos Web3, os usuários são solicitados a clicar em links e interagir com a equipe para reivindicar tokens, mas os hackers montaram armadilhas ao longo do processo. Desde sites falsos até ferramentas maliciosas ocultas, os riscos são reais. Neste guia, vamos descrever os tipos típicos de golpes de airdrop e ajudá-lo a se proteger.

O que é um Airdrop?

Um airdrop é quando um projeto Web3 distribui tokens gratuitos para endereços de carteira específicos para aumentar a visibilidade e atrair usuários. Esta é uma maneira direta para os projetos ganharem tração. Os airdrops podem ser categorizados com base em como eles são reivindicados:

• Baseado em tarefas: Complete tarefas específicas como partilhar, gostar ou outras ações.
• Interativo: Complete ações como trocar tokens, enviar/receber tokens ou realizar operações entre cadeias.
• Com base na posse: mantenha certos tokens para ser elegível para airdrops.
• Baseado em Staking: Aposte tokens, forneça liquidez ou bloqueie ativos por um período para ganhar tokens de airdrop.

Riscos de Reivindicar Airdrops

Falsos esquemas de Airdrop

Aqui estão alguns tipos comuns de golpes de airdrop falsos:

1. Hackers sequestram a conta oficial de um projeto para publicar anúncios falsos de airdrop. Muitas vezes vemos alertas como "A conta X ou a conta do Discord de um certo projeto foi hackeada. Por favor, não clique no link de phishing publicado pelo hacker." De acordo com o relatório de 2024 da SlowMist, houve 27 instâncias de contas de projetos hackeadas apenas no primeiro semestre do ano. Os usuários, confiando nas contas oficiais, clicam nesses links e são levados a sites de phishing disfarçados de airdrops. Se você inserir sua chave privada ou frase-semente ou autorizar quaisquer permissões nestes sites, os hackers podem roubar seus ativos.

1. Os hackers usam cópias de alta fidelidade das contas da equipe do projeto para postar mensagens falsas na seção de comentários da conta oficial do projeto, atraindo usuários a clicar em links de phishing. A equipe de segurança SlowMist analisou anteriormente este método e forneceu contramedidas (veja,Equipas de Projetos Falsos: Cuidado com Phishing na Secção de Comentários de Contas de Imitação). Além disso, depois que o projeto oficial anuncia um airdrop, os hackers rapidamente seguem usando contas de imitação para postar muitas atualizações contendo links de phishing em plataformas sociais. Muitos usuários, não conseguindo identificar as contas falsas, acabam instalando aplicativos fraudulentos ou abrindo sites de phishing onde realizam operações de autorização de assinatura.

(https://x.com/im23pds/status/1765577919819362702)

1. O terceiro método de golpe é ainda pior e é um golpe clássico. Os golpistas se escondem em grupos de projetos Web3, selecionam usuários-alvo e realizam ataques de engenharia social. Às vezes, eles usam airdrops como isca, "ensinando" aos usuários como transferir tokens para receber airdrops. Os usuários devem permanecer vigilantes e não confiar facilmente em qualquer pessoa que os contate como "atendimento ao cliente oficial" ou que alegue "ensinar" como operar. Essas pessoas provavelmente são golpistas. Você pode pensar que está apenas reivindicando um airdrop, mas acaba sofrendo grandes perdas.

"Tokens" de Airdrop "grátis": Compreender os Riscos

Os airdrops são comuns no espaço criptográfico, onde os utilizadores normalmente precisam de completar certas tarefas para ganhar tokens gratuitos. No entanto, existem práticas maliciosas que tiram partido destas oportunidades. Por exemplo, os hackers podem distribuir tokens sem qualquer valor real para as carteiras dos utilizadores. Estes utilizadores podem então tentar interagir com estes tokens - transferi-los, verificar o seu valor ou até mesmo negociá-los em bolsas descentralizadas. No entanto, depois de engenharia reversa de um contrato Scam NFT, descobrimos que as tentativas de transferir ou listar o NFT falham e aparece uma mensagem de erro: 'Visite o site para desbloquear o seu item', levando os utilizadores a visitar um site de phishing.

Se os utilizadores caírem nesta armadilha e visitarem o site de phishing, os hackers podem tomar várias ações prejudiciais:

• Compra em massa de NFTs valiosos através de um mecanismo de "custo zero" (consulte "Phishing de NFT sem custos“para mais detalhes).
• Roubar aprovações de tokens de alto valor ou permissões de assinatura.
• Roubar ativos nativos da carteira do utilizador.

A seguir, vamos ver como os hackers usam um contrato malicioso cuidadosamente elaborado para roubar as taxas de gás dos usuários. Primeiro, o hacker cria um contrato malicioso chamado GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) na BSC, usando tokens airdropped para atrair os usuários a interagir com ele. Quando os usuários interagem com esse contrato malicioso, uma solicitação aparece para aprovar o contrato a usar tokens na carteira do usuário. Se o usuário aprova essa solicitação, o contrato malicioso aumenta automaticamente o limite de gás com base no saldo da carteira do usuário, fazendo com que transações subsequentes consumam mais taxas de gás.

Usando o limite de Gas alto fornecido pelo usuário, o contrato malicioso utiliza o Gas extra para criar tokens CHI (os tokens CHI podem ser usados para compensação de Gas). Após acumular uma grande quantidade de tokens CHI, o hacker pode queimar esses tokens para receber compensação de Gas quando o contrato for destruído.

(https://x.com/SlowMist_Team/status/1640614440294035456)

Através deste método, o hacker lucra habilmente com as taxas de gás do usuário, e o usuário pode nem perceber que pagou taxas de gás adicionais. O usuário inicialmente pensou que poderia lucrar vendendo os tokens airdropped, mas acabou tendo seus ativos nativos roubados.

Ferramentas com Backdoor

(https://x.com/evilcos/status/1593525621992599552)

No processo de reivindicar airdrops, alguns usuários precisam baixar plugins para traduzir ou consultar a raridade do token, entre outras funções. A segurança desses plugins é questionável, e alguns usuários os baixam de fontes não oficiais, aumentando o risco de baixar plugins com backdoor.

Além disso, notamos serviços online vendendo scripts de airdrop que afirmam automatizar interações em massa. Embora isso pareça eficiente, os usuários devem ter cautela ao baixar scripts não verificados, pois isso é extremamente arriscado. Você não pode ter certeza da fonte ou da funcionalidade real do script. Ele pode conter código malicioso, potencialmente ameaçando roubar chaves privadas ou frases de segurança ou executar outras ações não autorizadas. Além disso, alguns usuários executam essas operações arriscadas sem software antivírus, o que pode levar a infecções por trojans não detectadas, resultando em danos aos seus dispositivos.

Resumo

Este guia explicou principalmente os riscos associados à reivindicação de airdrops através da análise de golpes. Muitos projetos agora utilizam airdrops como uma ferramenta de marketing. Os utilizadores podem tomar as seguintes medidas para reduzir o risco de perda de ativos durante a reivindicação de airdrop:

• Multi-Verificação: Ao visitar um site de airdrop, verifique cuidadosamente o URL. Confirme-o através da conta oficial do projeto ou dos canais de anúncio. Você também pode instalar plugins de bloqueio de riscos de phishing (como Scam Sniffer) para ajudar a identificar sites de phishing.
• Segmentação de carteira: use uma carteira com pequenos fundos para reivindicações de airdrop e guarde grandes quantidades em uma carteira fria.
• Tenha cuidado com os tokens distribuídos gratuitamente: Esteja atento aos tokens distribuídos gratuitamente de fontes desconhecidas. Evite autorizar ou assinar transações precipitadamente.
• Verificar Limites de Gás: Preste atenção se o limite de gás para transações está incomumente alto.
• Utilize Software Antivírus: Utilize software antivírus conhecido (como Kaspersky, AVG, etc.) para habilitar proteção em tempo real e garantir que as definições de vírus estejam atualizadas.

Aviso legal:

1. Este artigo foi reproduzido de Tecnologia SlowMist, os direitos de autor pertencem ao autor original [SlowMist Security Team]. Se houver objeções a esta reedição, entre em contato com o Gate Learnequipa e eles tratarão disso prontamente.
2. Isenção de responsabilidade: as visões e opiniões expressas neste artigo são exclusivamente as do autor e não constituem qualquer conselho de investimento.
3. A equipa do Gate Learn traduziu o artigo para outras línguas. É proibido copiar, distribuir ou plagiar os artigos traduzidos, a menos que seja mencionado.