Guia de Prevenção de Golpes de Airdrop
Introdução
Airdrops são uma estratégia de marketing popular em projetos Web3. Normalmente, tokens são distribuídos gratuitamente para endereços de carteira específicos, incentivando a participação e interação do usuário, ajudando novos projetos a expandir sua base de usuários e aumentar a visibilidade. No entanto, a natureza aberta dos airdrops os torna um alvo principal para hackers que estabelecem armadilhas. Muitos usuários perderam quantidades significativas de ativos caindo em golpes de phishing.
Nos últimos anos, o rápido crescimento do mercado de criptomoedas tem atraído muitos investidores. O valor de mercado do Bitcoin atingiu centenas de bilhões de dólares, e projetos de altcoin no valor de bilhões estão se tornando mais comuns. Muitos usuários estão ansiosos para participar de airdrops, com medo de perder oportunidades de investimento, especialmente durante as flutuações do mercado, quando promessas de altos retornos se tornam ainda mais atraentes. Golpistas e hackers rapidamente exploram esse entusiasmo, e os golpes de airdrop se tornaram generalizados.
Este artigo irá explorar golpes comuns de airdrop e fornecer conselhos práticos sobre como evitá-los. Ao analisar diferentes golpes e oferecer dicas preventivas, os utilizadores podem ficar mais alerta e proteger melhor os seus ativos ao participar em airdrops.
O que é um Airdrop?
Definição de Airdrop
Um airdrop é uma estratégia de marketing Web3 onde um projeto distribui tokens gratuitamente para endereços de carteira específicos para atrair usuários e aumentar a exposição no mercado.
Esta abordagem ajuda a expandir a base de usuários de um projeto e incentiva a participação do usuário no ecossistema do projeto, aumentando a interação e a atividade. Os airdrops geralmente são combinados com campanhas promocionais para chamar a atenção para novos projetos, tornando-os uma ferramenta crucial para aumentar a conscientização da marca.
Tipos de Airdrops
Existem diferentes formas de os utilizadores receberem airdrops, e geralmente enquadram-se em várias categorias:
Airdrops baseados em tarefas: os usuários devem concluir tarefas específicas, como compartilhar conteúdo, curtir postagens nas redes sociais ou preencher pesquisas. Esse tipo de airdrop aumenta o envolvimento do usuário e cria benefícios promocionais adicionais para o projeto.
Airdrops baseados em interação: Os usuários podem reivindicar tokens realizando trocas de tokens, enviando ou recebendo tokens, ou operações entre cadeias. Esses airdrops têm como objetivo aprofundar o envolvimento dos usuários com o projeto e ajudá-los a entender suas características e serviços.
Airdrops baseados em detenção: Alguns projetos recompensam os utilizadores que detêm tokens específicos, dando-lhes tokens adicionais. Isto promove a detenção a longo prazo dos tokens do projeto e aumenta a procura de mercado.
Airdrops baseados em staking: Os utilizadores recebem tokens ao fazer staking ou fornecer liquidez. Estes airdrops incentivam a participação no ecossistema do projeto, melhoram a liquidez do token e oferecem aos utilizadores ganhos potenciais.
No geral, os airdrops são uma estratégia de marketing flexível e diversificada. Eles aumentam rapidamente a visibilidade de um projeto e atendem aos interesses variados dos usuários, tornando-os mais propensos a se envolver com o ecossistema Web3. No entanto, os usuários devem permanecer cautelosos e estar cientes de possíveis golpes que possam ameaçar seus ativos.
O que é um Airdrop Scam?
Um esquema de fraude de airdrop é um esquema fraudulento em que os golpistas se fazem passar por eventos de distribuição de tokens ou moedas para enganar os utilizadores a interagir com eles. Eles atraem os utilizadores oferecendo oportunidades de airdrop falsas, usando o apelo de tokens gratuitos para fazer com que indivíduos incautos conectem suas carteiras a sites maliciosos. Uma vez conectados, os golpistas podem roubar ativos ou informações sensíveis, levando a violações de dados ou perdas financeiras.
Um Exemplo Real
Em janeiro de 2024, Jupiter, um agregador de negociação no ecossistema Solana, anunciou um airdrop de $700 milhões para recompensar os primeiros usuários. No entanto, antes do evento, um token baseado em Ethereum chamado JUP mostrou flutuações de preço anormais no mercado, sugerindo atividade fraudulenta.
No dia 30 de janeiro, véspera do início do airdrop, o preço do JUP disparou de $0.005 para $0.026, uma alta de mais de 430%, chamando a atenção do mercado. Pouco depois, o preço caiu para $0.007. Como isso aconteceu logo antes do airdrop da Jupiter, golpistas aproveitaram a situação, atraindo usuários ao convencê-los a conectar suas carteiras em troca de tokens falsos.
Origem: CoinmarketCap
Os golpistas então usaram a popularidade de Júpiter para se passarem por canais oficiais, compartilhando links e informações falsas de airdrop. Eles enganaram os usuários para visitar sites de phishing e conectar suas carteiras de criptomoedas. Uma vez conectados, as transações automatizadas foram executadas, drenando os fundos de suas carteiras e deixando as vítimas sem saber até que fosse tarde demais.
Apesar do desempenho impressionante da rede Solana durante o airdrop - processando 2,5 milhões de transações não votantes nas primeiras duas horas e meia - muitos usuários enfrentaram problemas ao usar aplicativos de terceiros como a Phantom Wallet e Solflare. De acordo com Austin Federa, chefe de estratégia da Solana Foundation, os problemas foram causados pelos nós de chamada de procedimento remoto (RPC), levando a reclamações generalizadas dos usuários e danificando a confiança em futuros airdrops.
Embora o airdrop de Jupiter tenha sido, em última análise, um sucesso, a fraude ofuscou o evento. O caso destaca como as fraudes ocultas e prejudiciais podem ser no mercado de criptomoedas, lembrando os utilizadores para permanecerem vigilantes ao participar em atividades criptográficas.
Origem: Jupiter/ X
Golpes comuns de Airdrop
À medida que os airdrops se tornam mais populares, também aumentam os vários golpes. Hackers e golpistas exploram a confiança dos usuários e sua ansiedade por tokens gratuitos para armar armadilhas. Abaixo estão alguns tipos comuns de golpes de airdrop, juntamente com explicações detalhadas:
Contas Falsas de Redes Sociais
Este é um dos golpes mais comuns, especialmente quando hackers conseguem assumir as contas oficiais de mídia social de um projeto (como o Twitter). Eles geralmente controlam essas contas ou criam contas falsas do projeto, imitando o estilo de mídia social de projetos conhecidos ou líderes de opinião chave (KOLs) e postam informações falsas de airdrop.
O sucesso deste golpe reside na sua capacidade de aproveitar a confiança dos utilizadores nos canais oficiais e na sua excitação por tokens gratuitos, fazendo com que baixem a sua guarda. Por exemplo, quando um projeto conhecido anuncia um airdrop, os hackers podem imediatamente criar uma conta falsa que parece quase idêntica à oficial e publicar o que parece ser informações de 'airdrop' oficiais. Isso direciona os utilizadores para sites de phishing disfarçados de reais. Uma vez que os utilizadores inserem informações pessoais ou baixam arquivos desses sites, eles podem acionar malware, levando ao roubo dos seus ativos de carteira.
Origem: academy.binance.com
Estas fraudes aproveitam a confiança dos utilizadores em marcas e figuras populares, especialmente durante as campanhas de airdrop, quando os utilizadores estão ansiosos por obter tokens gratuitos e ignoram os riscos potenciais. Serve como um lembrete de que, ao deparar com informações de airdrop supostamente emitidas por figuras famosas ou canais oficiais, não se deve confiar cegamente nos KOLs. Os utilizadores devem sempre verificar as informações através dos canais oficiais do projeto para garantir que os seus ativos virtuais estão seguros.
Tokens Falsos
Nesse golpe, hackers podem enviar tokens sem valor para as carteiras dos usuários para tentá-los a interagir com eles. Os usuários frequentemente são redirecionados para um site de phishing que rouba suas informações confidenciais ou ativos quando tentam verificar ou transferir esses tokens. Por exemplo, os hackers podem enviar aos usuários uma “notificação falsa de airdrop”, alegando que eles devem visitar um site de phishing para “desbloquear” os tokens, enganando os usuários a acreditar que é um processo legítimo. Sem saber, os usuários podem inserir suas chaves privadas ou frases de recuperação, resultando no roubo de seus ativos.
O perigo deste esquema é que os utilizadores podem não perceber imediatamente que a sua carteira foi comprometida até tentarem uma transação, apenas para descobrir que os seus ativos já desapareceram. Este tipo de esquema aproveita a curiosidade dos utilizadores sobre novos tokens e o seu desejo de obter ativos gratuitos, muitas vezes baixando a guarda enquanto perseguem ganhos potenciais, o que aumenta a probabilidade de se tornarem vítimas do esquema. Para evitar tais riscos, os utilizadores devem manter-se sempre alerta, especialmente ao receber notificações de airdrop, e nunca clicar em links ou descarregar anexos de forma cega. Também é recomendado que os utilizadores verifiquem regularmente o histórico de transações da sua carteira para detetar eventuais atividades suspeitas precocemente e tomar as medidas necessárias para proteger os seus ativos.
Origem: medium.com
Contratos Maliciosos
Ao contrário de outras táticas de fraude, os ataques de contratos maliciosos se concentram na manipulação das taxas de gás quando os usuários interagem com os contratos. Os hackers criam contratos aparentemente normais, mas enganam os utilizadores para que aprovem, sem saber, taxas excessivas de gás.
Estes ataques são difíceis de detetar, com a maioria dos utilizadores apercebendo-se apenas depois de incorrerem em taxas de transação inesperadamente elevadas. Por exemplo, alguns contratos maliciosos podem aumentar dinamicamente o limite de Gas com base no saldo do utilizador, fazendo com que os utilizadores paguem taxas de Gas mais elevadas do que o esperado durante transações rotineiras. Isto leva a perdas financeiras e por vezes até a transações falhadas, enquanto os hackers ficam com as taxas de Gas em excesso.
Para minimizar o risco de interagir com contratos maliciosos, os usuários devem estar atentos a qualquer contrato que afirme automatizar ações ou aumentar retornos, especialmente aqueles que prometem “compras sem custo” ou “interação automatizada.”
Roubo de porta dos fundos
Um “backdoor” refere-se a qualquer método que permita aos usuários contornar os procedimentos de autenticação padrão em um dispositivo ou rede, criando um ponto de entrada alternativo para que hackers acessem recursos como bancos de dados ou servidores de arquivos remotamente.
Na criptografia, alguns airdrops podem pedir aos usuários que baixem plugins específicos para completar tarefas, como visualizar a raridade do token ou tarefas de tradução. No entanto, esses plugins podem não ter passado por verificações de segurança rigorosas e podem conter 'programas de porta dos fundos'. Uma vez instalados, hackers podem roubar remotamente as chaves privadas dos usuários, frases de sementes ou até mesmo assumir o controle total de suas carteiras.
Num outro cenário, alguns utilizadores utilizam scripts automatizados para reclamar airdrops em massa, tentando poupar tempo. Embora estes scripts pareçam convenientes, eles vêm com riscos significativos de segurança. Muitos são distribuídos através de canais não oficiais e contêm código não verificado, permitindo que hackers escondam programas maliciosos. Estes programas podem registar as ações dos utilizadores e enviar os dados para servidores remotos, eventualmente roubando informações sensíveis.
Origem: X
Por exemplo, em 24 de dezembro de 2022, um grupo de hackers chamado Monkey Drainer realizou ataques semelhantes ao disfarçar plugins de airdrop, enganando os usuários para baixar o plugin ou inserir informações sensíveis. Uma vez que os usuários completam uma transação ou fazem o download de um script, o plugin imediatamente envia as chaves privadas ou autorizações da carteira dos usuários, permitindo que os hackers assumam o controle total de seus ativos de criptomoeda e eventualmente roubem milhões de dólares em criptomoedas.
Para evitar esses riscos, os usuários devem baixar apenas plugins de fontes oficiais e evitar scripts de terceiros não verificados. Eles também devem manter o software da carteira atualizado e usar um software antivírus confiável para escanear quaisquer arquivos baixados antes da instalação, a fim de reduzir ainda mais o risco.
Sinais de alerta
Promessas irrealistas
Se um projeto de airdrop prometer altos retornos sem exigir esforço ou investimento, geralmente é um sinal de alerta. Os golpistas frequentemente exploram o desejo dos usuários por lucros rápidos, anunciando oportunidades tentadoras (como esquemas de investimento ou brindes). No entanto, seu objetivo real é enganar os usuários para que participem e, no final, roubar seus ativos. Os usuários devem permanecer céticos em relação a promessas que parecem boas demais para ser verdade.
Pedidos suspeitos
Qualquer airdrop que peça aos usuários para conectar sua carteira a um site desconhecido ou fornecer informações sensíveis deve ser tratado com cautela. Airdrops legítimos nunca pedem aos usuários que divulguem chaves privadas, frases de recuperação ou outros detalhes pessoais. Golpistas frequentemente usam solicitações falsas para roubar informações sensíveis, resultando em roubo de ativos, portanto, receber solicitações suspeitas é um grande sinal de alerta.
Falta de transparência
Antes de participar num airdrop, verifique sempre se o projeto tem documentação clara, um white paper e membros da equipa confiáveis. Se um projeto carece de transparência ou se a sua informação é difícil de verificar, é provável que seja uma fraude.
Táticas de phishing
Os utilizadores devem manter-se vigilantes contra táticas de phishing, incluindo sites falsos, e-mails e contas de redes sociais que se fazem passar por projetos ou influenciadores legítimos. Os golpistas aproveitam a rapidez das redes sociais e a confiança dos utilizadores para espalhar rapidamente informações falsas, atraindo os utilizadores a clicar em links maliciosos e roubar informações pessoais, que depois exploram para ganhos ilícitos.
Medidas Preventivas
Para usuários
Verificar Fontes de Informação
Verificar a autenticidade da fonte de informação é crucial para evitar golpes antes de participar de um airdrop. Os usuários devem estar atentos aos links compartilhados aleatoriamente nas redes sociais e, em vez disso, obter os detalhes do airdrop por meio de canais oficiais. Ao visitar os sites de airdrop, verifique cuidadosamente o URL para garantir que corresponda ao site oficial do projeto. Além disso, os usuários podem confirmar a legitimidade do airdrop verificando anúncios oficiais ou fontes de notícias confiáveis.
Utilize uma Carteira Separada
Para reduzir os riscos potenciais, os utilizadores devem considerar a criação de uma carteira separada especificamente para atividades de airdrop, enquanto mantêm os seus ativos principais noutra carteira.
Esta carteira separada deve ser usada apenas para atividades de alto risco, como participar em airdrops interativos ou testar novos projetos. Enquanto mantém os principais ativos armazenados com segurança numa carteira a frio, este método ajuda a minimizar o risco de perder ativos valiosos para hackers durante as interações com airdrops.
Verificar taxas de gás
Limites de Gás anormalmente altos são muitas vezes um sinal de que alguns parâmetros na transação foram manipulados de forma maliciosa para aumentar as taxas e lucrar ilegalmente. Isso é particularmente comum durante interações pós-airdrop, onde alguns contratos se aproveitam da falta de atenção dos usuários às taxas de Gás, levando-os a pagar taxas significativamente mais altas do que o esperado. Se as taxas de Gás parecerem anormalmente altas, os usuários devem ter cautela, pois pode haver um contrato malicioso envolvido.
Evite interagir com tokens desconhecidos
Hackers muitas vezes distribuem tokens sem valor nas carteiras dos usuários, enganando-os para interagir com esses tokens. Embora os tokens possam parecer legítimos, sua presença cria a ilusão de uma 'recompensa gratuita', tentando os usuários a autorizar transferências de token ou expor informações de chave privada.
Se os utilizadores detetarem tokens na sua carteira que nunca solicitaram, a ação mais segura é ignorar esses tokens desconhecidos e evitar qualquer interação. Nunca aprovem qualquer transação ou tentem transferir esses tokens, pois isso poderia ativar contratos maliciosos.
Utilize Software Antivírus
Os usuários devem instalar e ativar software antivírus confiável, garantindo que seu dispositivo esteja sempre sob proteção em tempo real, especialmente ao baixar plugins ou scripts relacionados ao Airdrop. Isso ajuda a prevenir ataques de malware bloqueando-os precocemente.
Além disso, é recomendado que os usuários usem ferramentas de detecção de risco de phishing como o Scam Sniffer. Essas ferramentas podem identificar automaticamente sites de phishing conhecidos ou endereços maliciosos e alertar os usuários, oferecendo uma melhor proteção contra ameaças online.
Para Projetos
Para evitar golpes de airdrop, as equipas de projeto também devem adotar medidas de segurança abrangentes, incluindo:
Auditorias de Segurança
As equipas de projeto devem realizar regularmente auditorias de segurança abrangentes, especialmente nos pontos críticos de interação com o utilizador. Ao avaliar sistematicamente o código e os processos, podem identificar e corrigir rapidamente potenciais vulnerabilidades, aumentando a confiança do utilizador.
As auditorias regulares também ajudam as equipas de projetos a manter-se alinhadas com as mais recentes normas de segurança, garantindo a segurança dos dados e fundos dos utilizadores no ecossistema de criptomoedas em constante evolução.
Alertas eficazes de risco
As carteiras devem lembrar os utilizadores de verificar cuidadosamente o endereço de destino antes de efetuarem uma transação para evitar esquemas em que os endereços têm terminações semelhantes. Além disso, as equipas de projeto poderiam implementar uma funcionalidade de lista branca, permitindo aos utilizadores adicionar endereços frequentemente utilizados a uma lista branca para reduzir o risco de tais ataques.
Os projetos também podem reunir e compartilhar informações sobre sites de phishing conhecidos dentro da comunidade, garantindo que os usuários recebam avisos ao interagir com esses sites, o que pode aumentar a conscientização sobre segurança e fornecer uma melhor proteção.
Reconhecimento de Assinatura e Avisos
As carteiras devem ter um recurso que reconheça solicitações de assinatura arriscadas e alerte os usuários, especialmente em relação à assinatura cega. Isso pode ajudar os usuários a entender melhor quais ações estão prestes a tomar, incentivando-os a ter mais cuidado ao confirmar transações.
Aumentando a Transparência da Transação
Antes de os utilizadores executarem uma transação, as equipas do projeto devem divulgar os contratos envolvidos e fornecer detalhes claros, como as estruturas de transação do DApp. Esta transparência ajuda os utilizadores a tomar decisões informadas e reduz o risco de problemas de segurança não intencionais.
Ao fornecer estas informações, os projetos podem construir a confiança dos utilizadores, melhorar a fiabilidade da plataforma e ajudar os utilizadores a compreender melhor o ecossistema para evitar a perda de ativos devido a operações incorretas.
Mecanismo de Pré-execução
Um mecanismo de pré-execução que simula o resultado de uma transação antes de ser executada pode permitir que os usuários visualizem os resultados possíveis. Isso ajuda a avaliar se a transação é razoável e segura. Com base no feedback pré-execução, os usuários podem decidir se a transação atende às suas expectativas, tornando-os mais cautelosos e reduzindo o risco de decisões impulsivas.
Alertas de Conformidade AML
Antes da transferência, as equipas do projeto devem monitorizar o endereço do destinatário através de mecanismos de combate à lavagem de dinheiro (AML), garantindo que as verificações de conformidade sejam concluídas antes da transação. Os utilizadores devem ser alertados se o endereço acionar regras AML, ajudando a proteger os seus fundos de contas suspeitas ou entidades sancionadas e reduzindo potenciais riscos legais e financeiros.
Conclusão
À medida que o ecossistema Web3 cresce, os airdrops continuam a ser uma estratégia de marketing altamente flexível com grande potencial para projetos e utilizadores. No entanto, os riscos de fraudes não podem ser ignorados. Este artigo analisou as definições de airdrop, os tipos comuns e as táticas de fraude, destacando a necessidade de os utilizadores permanecerem vigilantes ao participarem em atividades de airdrop. Ao mesmo tempo, enfatiza a responsabilidade das equipas de projeto em melhorar a confiança e a segurança dos utilizadores.
Com avanços tecnológicos futuros e melhorias no ecossistema, as atividades de airdrop provavelmente irão integrar medidas de segurança mais avançadas, criando um mercado mais transparente e confiável. Através de mecanismos de proteção inovadores e educação do usuário, projetos e usuários podem trabalhar juntos para desfrutar dos benefícios dos airdrops, ao mesmo tempo em que mitigam efetivamente os riscos e impulsionam o desenvolvimento saudável e a prosperidade do ecossistema Web3.
Artigos relacionados
O que é o Gate Pay?
Riscos que deve estar ciente ao negociar cripto
Como se proteger de fraudes com frases de sementes
Guia de Prevenção de Golpes de Airdrop
Introdução
O que é um Airdrop?
Um Exemplo Real
Esquemas Comuns de Airdrop
Sinais de Aviso
Medidas Preventivas
Conclusão
Introdução
Airdrops são uma estratégia de marketing popular em projetos Web3. Normalmente, tokens são distribuídos gratuitamente para endereços de carteira específicos, incentivando a participação e interação do usuário, ajudando novos projetos a expandir sua base de usuários e aumentar a visibilidade. No entanto, a natureza aberta dos airdrops os torna um alvo principal para hackers que estabelecem armadilhas. Muitos usuários perderam quantidades significativas de ativos caindo em golpes de phishing.
Nos últimos anos, o rápido crescimento do mercado de criptomoedas tem atraído muitos investidores. O valor de mercado do Bitcoin atingiu centenas de bilhões de dólares, e projetos de altcoin no valor de bilhões estão se tornando mais comuns. Muitos usuários estão ansiosos para participar de airdrops, com medo de perder oportunidades de investimento, especialmente durante as flutuações do mercado, quando promessas de altos retornos se tornam ainda mais atraentes. Golpistas e hackers rapidamente exploram esse entusiasmo, e os golpes de airdrop se tornaram generalizados.
Este artigo irá explorar golpes comuns de airdrop e fornecer conselhos práticos sobre como evitá-los. Ao analisar diferentes golpes e oferecer dicas preventivas, os utilizadores podem ficar mais alerta e proteger melhor os seus ativos ao participar em airdrops.
O que é um Airdrop?
Definição de Airdrop
Um airdrop é uma estratégia de marketing Web3 onde um projeto distribui tokens gratuitamente para endereços de carteira específicos para atrair usuários e aumentar a exposição no mercado.
Esta abordagem ajuda a expandir a base de usuários de um projeto e incentiva a participação do usuário no ecossistema do projeto, aumentando a interação e a atividade. Os airdrops geralmente são combinados com campanhas promocionais para chamar a atenção para novos projetos, tornando-os uma ferramenta crucial para aumentar a conscientização da marca.
Tipos de Airdrops
Existem diferentes formas de os utilizadores receberem airdrops, e geralmente enquadram-se em várias categorias:
Airdrops baseados em tarefas: os usuários devem concluir tarefas específicas, como compartilhar conteúdo, curtir postagens nas redes sociais ou preencher pesquisas. Esse tipo de airdrop aumenta o envolvimento do usuário e cria benefícios promocionais adicionais para o projeto.
Airdrops baseados em interação: Os usuários podem reivindicar tokens realizando trocas de tokens, enviando ou recebendo tokens, ou operações entre cadeias. Esses airdrops têm como objetivo aprofundar o envolvimento dos usuários com o projeto e ajudá-los a entender suas características e serviços.
Airdrops baseados em detenção: Alguns projetos recompensam os utilizadores que detêm tokens específicos, dando-lhes tokens adicionais. Isto promove a detenção a longo prazo dos tokens do projeto e aumenta a procura de mercado.
Airdrops baseados em staking: Os utilizadores recebem tokens ao fazer staking ou fornecer liquidez. Estes airdrops incentivam a participação no ecossistema do projeto, melhoram a liquidez do token e oferecem aos utilizadores ganhos potenciais.
No geral, os airdrops são uma estratégia de marketing flexível e diversificada. Eles aumentam rapidamente a visibilidade de um projeto e atendem aos interesses variados dos usuários, tornando-os mais propensos a se envolver com o ecossistema Web3. No entanto, os usuários devem permanecer cautelosos e estar cientes de possíveis golpes que possam ameaçar seus ativos.
O que é um Airdrop Scam?
Um esquema de fraude de airdrop é um esquema fraudulento em que os golpistas se fazem passar por eventos de distribuição de tokens ou moedas para enganar os utilizadores a interagir com eles. Eles atraem os utilizadores oferecendo oportunidades de airdrop falsas, usando o apelo de tokens gratuitos para fazer com que indivíduos incautos conectem suas carteiras a sites maliciosos. Uma vez conectados, os golpistas podem roubar ativos ou informações sensíveis, levando a violações de dados ou perdas financeiras.
Um Exemplo Real
Em janeiro de 2024, Jupiter, um agregador de negociação no ecossistema Solana, anunciou um airdrop de $700 milhões para recompensar os primeiros usuários. No entanto, antes do evento, um token baseado em Ethereum chamado JUP mostrou flutuações de preço anormais no mercado, sugerindo atividade fraudulenta.
No dia 30 de janeiro, véspera do início do airdrop, o preço do JUP disparou de $0.005 para $0.026, uma alta de mais de 430%, chamando a atenção do mercado. Pouco depois, o preço caiu para $0.007. Como isso aconteceu logo antes do airdrop da Jupiter, golpistas aproveitaram a situação, atraindo usuários ao convencê-los a conectar suas carteiras em troca de tokens falsos.
Origem: CoinmarketCap
Os golpistas então usaram a popularidade de Júpiter para se passarem por canais oficiais, compartilhando links e informações falsas de airdrop. Eles enganaram os usuários para visitar sites de phishing e conectar suas carteiras de criptomoedas. Uma vez conectados, as transações automatizadas foram executadas, drenando os fundos de suas carteiras e deixando as vítimas sem saber até que fosse tarde demais.
Apesar do desempenho impressionante da rede Solana durante o airdrop - processando 2,5 milhões de transações não votantes nas primeiras duas horas e meia - muitos usuários enfrentaram problemas ao usar aplicativos de terceiros como a Phantom Wallet e Solflare. De acordo com Austin Federa, chefe de estratégia da Solana Foundation, os problemas foram causados pelos nós de chamada de procedimento remoto (RPC), levando a reclamações generalizadas dos usuários e danificando a confiança em futuros airdrops.
Embora o airdrop de Jupiter tenha sido, em última análise, um sucesso, a fraude ofuscou o evento. O caso destaca como as fraudes ocultas e prejudiciais podem ser no mercado de criptomoedas, lembrando os utilizadores para permanecerem vigilantes ao participar em atividades criptográficas.
Origem: Jupiter/ X
Golpes comuns de Airdrop
À medida que os airdrops se tornam mais populares, também aumentam os vários golpes. Hackers e golpistas exploram a confiança dos usuários e sua ansiedade por tokens gratuitos para armar armadilhas. Abaixo estão alguns tipos comuns de golpes de airdrop, juntamente com explicações detalhadas:
Contas Falsas de Redes Sociais
Este é um dos golpes mais comuns, especialmente quando hackers conseguem assumir as contas oficiais de mídia social de um projeto (como o Twitter). Eles geralmente controlam essas contas ou criam contas falsas do projeto, imitando o estilo de mídia social de projetos conhecidos ou líderes de opinião chave (KOLs) e postam informações falsas de airdrop.
O sucesso deste golpe reside na sua capacidade de aproveitar a confiança dos utilizadores nos canais oficiais e na sua excitação por tokens gratuitos, fazendo com que baixem a sua guarda. Por exemplo, quando um projeto conhecido anuncia um airdrop, os hackers podem imediatamente criar uma conta falsa que parece quase idêntica à oficial e publicar o que parece ser informações de 'airdrop' oficiais. Isso direciona os utilizadores para sites de phishing disfarçados de reais. Uma vez que os utilizadores inserem informações pessoais ou baixam arquivos desses sites, eles podem acionar malware, levando ao roubo dos seus ativos de carteira.
Origem: academy.binance.com
Estas fraudes aproveitam a confiança dos utilizadores em marcas e figuras populares, especialmente durante as campanhas de airdrop, quando os utilizadores estão ansiosos por obter tokens gratuitos e ignoram os riscos potenciais. Serve como um lembrete de que, ao deparar com informações de airdrop supostamente emitidas por figuras famosas ou canais oficiais, não se deve confiar cegamente nos KOLs. Os utilizadores devem sempre verificar as informações através dos canais oficiais do projeto para garantir que os seus ativos virtuais estão seguros.
Tokens Falsos
Nesse golpe, hackers podem enviar tokens sem valor para as carteiras dos usuários para tentá-los a interagir com eles. Os usuários frequentemente são redirecionados para um site de phishing que rouba suas informações confidenciais ou ativos quando tentam verificar ou transferir esses tokens. Por exemplo, os hackers podem enviar aos usuários uma “notificação falsa de airdrop”, alegando que eles devem visitar um site de phishing para “desbloquear” os tokens, enganando os usuários a acreditar que é um processo legítimo. Sem saber, os usuários podem inserir suas chaves privadas ou frases de recuperação, resultando no roubo de seus ativos.
O perigo deste esquema é que os utilizadores podem não perceber imediatamente que a sua carteira foi comprometida até tentarem uma transação, apenas para descobrir que os seus ativos já desapareceram. Este tipo de esquema aproveita a curiosidade dos utilizadores sobre novos tokens e o seu desejo de obter ativos gratuitos, muitas vezes baixando a guarda enquanto perseguem ganhos potenciais, o que aumenta a probabilidade de se tornarem vítimas do esquema. Para evitar tais riscos, os utilizadores devem manter-se sempre alerta, especialmente ao receber notificações de airdrop, e nunca clicar em links ou descarregar anexos de forma cega. Também é recomendado que os utilizadores verifiquem regularmente o histórico de transações da sua carteira para detetar eventuais atividades suspeitas precocemente e tomar as medidas necessárias para proteger os seus ativos.
Origem: medium.com
Contratos Maliciosos
Ao contrário de outras táticas de fraude, os ataques de contratos maliciosos se concentram na manipulação das taxas de gás quando os usuários interagem com os contratos. Os hackers criam contratos aparentemente normais, mas enganam os utilizadores para que aprovem, sem saber, taxas excessivas de gás.
Estes ataques são difíceis de detetar, com a maioria dos utilizadores apercebendo-se apenas depois de incorrerem em taxas de transação inesperadamente elevadas. Por exemplo, alguns contratos maliciosos podem aumentar dinamicamente o limite de Gas com base no saldo do utilizador, fazendo com que os utilizadores paguem taxas de Gas mais elevadas do que o esperado durante transações rotineiras. Isto leva a perdas financeiras e por vezes até a transações falhadas, enquanto os hackers ficam com as taxas de Gas em excesso.
Para minimizar o risco de interagir com contratos maliciosos, os usuários devem estar atentos a qualquer contrato que afirme automatizar ações ou aumentar retornos, especialmente aqueles que prometem “compras sem custo” ou “interação automatizada.”
Roubo de porta dos fundos
Um “backdoor” refere-se a qualquer método que permita aos usuários contornar os procedimentos de autenticação padrão em um dispositivo ou rede, criando um ponto de entrada alternativo para que hackers acessem recursos como bancos de dados ou servidores de arquivos remotamente.
Na criptografia, alguns airdrops podem pedir aos usuários que baixem plugins específicos para completar tarefas, como visualizar a raridade do token ou tarefas de tradução. No entanto, esses plugins podem não ter passado por verificações de segurança rigorosas e podem conter 'programas de porta dos fundos'. Uma vez instalados, hackers podem roubar remotamente as chaves privadas dos usuários, frases de sementes ou até mesmo assumir o controle total de suas carteiras.
Num outro cenário, alguns utilizadores utilizam scripts automatizados para reclamar airdrops em massa, tentando poupar tempo. Embora estes scripts pareçam convenientes, eles vêm com riscos significativos de segurança. Muitos são distribuídos através de canais não oficiais e contêm código não verificado, permitindo que hackers escondam programas maliciosos. Estes programas podem registar as ações dos utilizadores e enviar os dados para servidores remotos, eventualmente roubando informações sensíveis.
Origem: X
Por exemplo, em 24 de dezembro de 2022, um grupo de hackers chamado Monkey Drainer realizou ataques semelhantes ao disfarçar plugins de airdrop, enganando os usuários para baixar o plugin ou inserir informações sensíveis. Uma vez que os usuários completam uma transação ou fazem o download de um script, o plugin imediatamente envia as chaves privadas ou autorizações da carteira dos usuários, permitindo que os hackers assumam o controle total de seus ativos de criptomoeda e eventualmente roubem milhões de dólares em criptomoedas.
Para evitar esses riscos, os usuários devem baixar apenas plugins de fontes oficiais e evitar scripts de terceiros não verificados. Eles também devem manter o software da carteira atualizado e usar um software antivírus confiável para escanear quaisquer arquivos baixados antes da instalação, a fim de reduzir ainda mais o risco.
Sinais de alerta
Promessas irrealistas
Se um projeto de airdrop prometer altos retornos sem exigir esforço ou investimento, geralmente é um sinal de alerta. Os golpistas frequentemente exploram o desejo dos usuários por lucros rápidos, anunciando oportunidades tentadoras (como esquemas de investimento ou brindes). No entanto, seu objetivo real é enganar os usuários para que participem e, no final, roubar seus ativos. Os usuários devem permanecer céticos em relação a promessas que parecem boas demais para ser verdade.
Pedidos suspeitos
Qualquer airdrop que peça aos usuários para conectar sua carteira a um site desconhecido ou fornecer informações sensíveis deve ser tratado com cautela. Airdrops legítimos nunca pedem aos usuários que divulguem chaves privadas, frases de recuperação ou outros detalhes pessoais. Golpistas frequentemente usam solicitações falsas para roubar informações sensíveis, resultando em roubo de ativos, portanto, receber solicitações suspeitas é um grande sinal de alerta.
Falta de transparência
Antes de participar num airdrop, verifique sempre se o projeto tem documentação clara, um white paper e membros da equipa confiáveis. Se um projeto carece de transparência ou se a sua informação é difícil de verificar, é provável que seja uma fraude.
Táticas de phishing
Os utilizadores devem manter-se vigilantes contra táticas de phishing, incluindo sites falsos, e-mails e contas de redes sociais que se fazem passar por projetos ou influenciadores legítimos. Os golpistas aproveitam a rapidez das redes sociais e a confiança dos utilizadores para espalhar rapidamente informações falsas, atraindo os utilizadores a clicar em links maliciosos e roubar informações pessoais, que depois exploram para ganhos ilícitos.
Medidas Preventivas
Para usuários
Verificar Fontes de Informação
Verificar a autenticidade da fonte de informação é crucial para evitar golpes antes de participar de um airdrop. Os usuários devem estar atentos aos links compartilhados aleatoriamente nas redes sociais e, em vez disso, obter os detalhes do airdrop por meio de canais oficiais. Ao visitar os sites de airdrop, verifique cuidadosamente o URL para garantir que corresponda ao site oficial do projeto. Além disso, os usuários podem confirmar a legitimidade do airdrop verificando anúncios oficiais ou fontes de notícias confiáveis.
Utilize uma Carteira Separada
Para reduzir os riscos potenciais, os utilizadores devem considerar a criação de uma carteira separada especificamente para atividades de airdrop, enquanto mantêm os seus ativos principais noutra carteira.
Esta carteira separada deve ser usada apenas para atividades de alto risco, como participar em airdrops interativos ou testar novos projetos. Enquanto mantém os principais ativos armazenados com segurança numa carteira a frio, este método ajuda a minimizar o risco de perder ativos valiosos para hackers durante as interações com airdrops.
Verificar taxas de gás
Limites de Gás anormalmente altos são muitas vezes um sinal de que alguns parâmetros na transação foram manipulados de forma maliciosa para aumentar as taxas e lucrar ilegalmente. Isso é particularmente comum durante interações pós-airdrop, onde alguns contratos se aproveitam da falta de atenção dos usuários às taxas de Gás, levando-os a pagar taxas significativamente mais altas do que o esperado. Se as taxas de Gás parecerem anormalmente altas, os usuários devem ter cautela, pois pode haver um contrato malicioso envolvido.
Evite interagir com tokens desconhecidos
Hackers muitas vezes distribuem tokens sem valor nas carteiras dos usuários, enganando-os para interagir com esses tokens. Embora os tokens possam parecer legítimos, sua presença cria a ilusão de uma 'recompensa gratuita', tentando os usuários a autorizar transferências de token ou expor informações de chave privada.
Se os utilizadores detetarem tokens na sua carteira que nunca solicitaram, a ação mais segura é ignorar esses tokens desconhecidos e evitar qualquer interação. Nunca aprovem qualquer transação ou tentem transferir esses tokens, pois isso poderia ativar contratos maliciosos.
Utilize Software Antivírus
Os usuários devem instalar e ativar software antivírus confiável, garantindo que seu dispositivo esteja sempre sob proteção em tempo real, especialmente ao baixar plugins ou scripts relacionados ao Airdrop. Isso ajuda a prevenir ataques de malware bloqueando-os precocemente.
Além disso, é recomendado que os usuários usem ferramentas de detecção de risco de phishing como o Scam Sniffer. Essas ferramentas podem identificar automaticamente sites de phishing conhecidos ou endereços maliciosos e alertar os usuários, oferecendo uma melhor proteção contra ameaças online.
Para Projetos
Para evitar golpes de airdrop, as equipas de projeto também devem adotar medidas de segurança abrangentes, incluindo:
Auditorias de Segurança
As equipas de projeto devem realizar regularmente auditorias de segurança abrangentes, especialmente nos pontos críticos de interação com o utilizador. Ao avaliar sistematicamente o código e os processos, podem identificar e corrigir rapidamente potenciais vulnerabilidades, aumentando a confiança do utilizador.
As auditorias regulares também ajudam as equipas de projetos a manter-se alinhadas com as mais recentes normas de segurança, garantindo a segurança dos dados e fundos dos utilizadores no ecossistema de criptomoedas em constante evolução.
Alertas eficazes de risco
As carteiras devem lembrar os utilizadores de verificar cuidadosamente o endereço de destino antes de efetuarem uma transação para evitar esquemas em que os endereços têm terminações semelhantes. Além disso, as equipas de projeto poderiam implementar uma funcionalidade de lista branca, permitindo aos utilizadores adicionar endereços frequentemente utilizados a uma lista branca para reduzir o risco de tais ataques.
Os projetos também podem reunir e compartilhar informações sobre sites de phishing conhecidos dentro da comunidade, garantindo que os usuários recebam avisos ao interagir com esses sites, o que pode aumentar a conscientização sobre segurança e fornecer uma melhor proteção.
Reconhecimento de Assinatura e Avisos
As carteiras devem ter um recurso que reconheça solicitações de assinatura arriscadas e alerte os usuários, especialmente em relação à assinatura cega. Isso pode ajudar os usuários a entender melhor quais ações estão prestes a tomar, incentivando-os a ter mais cuidado ao confirmar transações.
Aumentando a Transparência da Transação
Antes de os utilizadores executarem uma transação, as equipas do projeto devem divulgar os contratos envolvidos e fornecer detalhes claros, como as estruturas de transação do DApp. Esta transparência ajuda os utilizadores a tomar decisões informadas e reduz o risco de problemas de segurança não intencionais.
Ao fornecer estas informações, os projetos podem construir a confiança dos utilizadores, melhorar a fiabilidade da plataforma e ajudar os utilizadores a compreender melhor o ecossistema para evitar a perda de ativos devido a operações incorretas.
Mecanismo de Pré-execução
Um mecanismo de pré-execução que simula o resultado de uma transação antes de ser executada pode permitir que os usuários visualizem os resultados possíveis. Isso ajuda a avaliar se a transação é razoável e segura. Com base no feedback pré-execução, os usuários podem decidir se a transação atende às suas expectativas, tornando-os mais cautelosos e reduzindo o risco de decisões impulsivas.
Alertas de Conformidade AML
Antes da transferência, as equipas do projeto devem monitorizar o endereço do destinatário através de mecanismos de combate à lavagem de dinheiro (AML), garantindo que as verificações de conformidade sejam concluídas antes da transação. Os utilizadores devem ser alertados se o endereço acionar regras AML, ajudando a proteger os seus fundos de contas suspeitas ou entidades sancionadas e reduzindo potenciais riscos legais e financeiros.
Conclusão
À medida que o ecossistema Web3 cresce, os airdrops continuam a ser uma estratégia de marketing altamente flexível com grande potencial para projetos e utilizadores. No entanto, os riscos de fraudes não podem ser ignorados. Este artigo analisou as definições de airdrop, os tipos comuns e as táticas de fraude, destacando a necessidade de os utilizadores permanecerem vigilantes ao participarem em atividades de airdrop. Ao mesmo tempo, enfatiza a responsabilidade das equipas de projeto em melhorar a confiança e a segurança dos utilizadores.
Com avanços tecnológicos futuros e melhorias no ecossistema, as atividades de airdrop provavelmente irão integrar medidas de segurança mais avançadas, criando um mercado mais transparente e confiável. Através de mecanismos de proteção inovadores e educação do usuário, projetos e usuários podem trabalhar juntos para desfrutar dos benefícios dos airdrops, ao mesmo tempo em que mitigam efetivamente os riscos e impulsionam o desenvolvimento saudável e a prosperidade do ecossistema Web3.
Artigos relacionados
O que é o Gate Pay?
Riscos que deve estar ciente ao negociar cripto