الخلفية

في دليلنا السابق حول أمان ويب 3، تناولنا موضوع التصيد متعدد التوقيعات، وناقشناآليات محافظ المتعددة التوقيع، كيف يستغل المهاجمونها وكيفية حماية محفظتك من التوقيعات الخبيثة. في هذا الجزء، سنغوص في تكتيك تسويقي مستخدم على نطاق واسع في الصناعات التقليدية والعملات المشفرة — توزيعات مجانية.

يمكن لعمليات الإنزال الجوي دفع المشروع بسرعة من الغموض إلى دائرة الضوء ، مما يساعده على بناء قاعدة مستخدمين بسرعة وتعزيز رؤية السوق. عادة ، يشارك المستخدمون في مشاريع Web3 من خلال النقر فوق الروابط والتفاعل مع المشروع للمطالبة بالرموز المميزة التي تم إسقاطها جوا. ومع ذلك ، من مواقع الويب المزيفة إلى الأدوات المليئة بالأبواب الخلفية ، وضع المتسللون الفخاخ طوال عملية الإنزال الجوي. سيحلل هذا الدليل عمليات الاحتيال الشائعة للإسقاط الجوي لمساعدتك على تجنب هذه المزالق.

ما هو توزيع مجاني؟

يحدث إسقاط جوي عندما يوزع مشروع Web3 رموزًا مجانية على عناوين المحافظ المحددة لزيادة رؤيته وجذب المستخدمين المبكرين. هذه هي واحدة من أكثر الطرق المباشرة للمشاريع لكسب قاعدة مستخدمين. يمكن تصنيف الإسقاطات الجوية عمومًا إلى الأنواع التالية بناءً على كيفية المطالبة بها:

• Task-Based: إكمال المهام المحددة من قِبل المشروع، مثل مشاركة المحتوى أو الإعجاب بالمنشورات.

• قائم على التفاعل: تنفيذ إجراءات مثل مقايضات الرمز المميز أو إرسال / استقبال الرموز المميزة أو العمليات عبر السلسلة.

• الاستناد إلى الاحتفاظ: الاحتفاظ بالرموز المحددة من المشروع للتأهل للحصول على التوزيع المجاني.

• على أساس التخزين: كسب الرموز المميزة التي يتم إسقاطها جوا من خلال تخزين الأصول الفردية أو المزدوجة ، أو توفير السيولة ، أو قفل الرمز المميز على المدى الطويل.

المخاطر في المطالبة بالتوزيعات المجانية

عمليات احتيالية لتوزيعات مجانية مزيفة

يمكن تقسيم هذه الاحتيالات إلى عدة أنواع:

1. حسابات رسمية مختطفة: قد يستولي القراصنة على الحساب الرسمي للمشروع وينشرون إعلانات توزيع مجاني مزيفة. على سبيل المثال، فمن المشترك رؤية تنبيهات على منصات الأخبار مثل "تم اختراق حساب X أو Discord الخاص بالمشروع Y. لا تنقر على الروابط الاحتيالية المشاركة من قبل القراصنة". وفقًا لتقريرنا لأمان بلوكشين ومكافحة غسل الأموال للعام الأول من عام 2024، تم تسجيل 27 حادثة من هذا النوع في النصف الأول من 2024 بمفرده. يمكن للمستخدمين، الذين يثقون بالحساب الرسمي، النقر على هذه الروابط ويتم إعادة توجيههم إلى مواقع احتيالية المتنكرة على شكل صفحات توزيع مجاني. إذا قاموا بإدخال مفاتيحهم الخاصة، العبارات البذرية، أو منح الأذونات، يمكن للقراصنة سرقة أصولهم.

1. التنكيل في أقسام التعليق: غالبًا ما يقوم المخترقون بإنشاء حسابات مشروع مزيفة ونشرها في تعليقات قنوات وسائل التواصل الاجتماعي الخاصة بالمشروع الحقيقي، مدعين تقديم توزيعات مجانية. قد يقوم المستخدمون الذين لا يكونون حذرين بمتابعة هذه الروابط إلى مواقع احتيال. على سبيل المثال، فقد قام فريق الأمان SlowMist سابقًا بتحليل هذه الخطط وتقديم توصيات في مقال بعنوان "احترس من التنكيل في أقسام التعليق". بالإضافة إلى ذلك، بعد الإعلان عن توزيع مجاني شرعي، يستجيب المخترقون بسرعة من خلال نشر روابط احتيال باستخدام حسابات مزيفة تشبه الحسابات الرسمية. لقد تم خداع العديد من المستخدمين لتثبيت تطبيقات ضارة أو توقيع المعاملات على مواقع الاحتيال.

1. هجمات الهندسة الاجتماعية: في بعض الحالات، يخترق النصابون مجموعات مشاريع الويب3، ويستهدفون مستخدمين محددين، ويستخدمون تقنيات الهندسة الاجتماعية لخداعهم. قد يتنكرون كموظفي دعم أو أعضاء في المجتمع المفيدين، عرضًا لتوجيه المستخدمين خلال عملية المطالبة بتوزيع مجاني، فقط لسرقة أصولهم. يجب على المستخدمين أن يظلوا يقظين ولا يثقوا بالعروض غير المرغوب فيها للمساعدة من الأفراد الذين يدعون أنهم ممثلون رسميون.

الرموز المجانية للتوزيع المجاني

بينما تتطلب معظم عمليات توزيع الهبات الرقمية من المستخدمين إكمال مهام معينة، هناك حالات تظهر فيها العملات الرمزية في محفظتك دون أي عمل من جانبك. في كثير من الأحيان، يقوم المحتالون بتوزيع عملات رمزية لا قيمة لها على محفظتك، على أمل أن تتفاعل معها من خلال التحويل أو العرض أو محاولة التداول بها على البورصة اللامركزية. ومع ذلك، عند محاولة التفاعل مع هذه العملات الرمزية النصابة، قد تواجه رسالة خطأ تدعوك إلى زيارة موقع ويب لـ"فتح عنصرك". إن هذا فخ يقود إلى موقع احتيال.

إذا قام المستخدم بزيارة موقع الصيد الاحتيالي المرتبط بسكام NFT ، فقد يقوم القراصنة باتخاذ الإجراءات التالية:

• قم بإجراء "شراء بدون تكلفة" لل NFTs القيمة (راجع تحليل الاحتيال على "شراء بدون تكلفة" NFT).

• سرقة الرموز ذات القيمة العالية من خلال الموافقة على التفويض أو توقيع التصاريح.

• خذ الأصول الأصلية.

فيما يلي ، دعونا نفحص كيف يمكن للمتسللين سرقة رسوم الغاز للمستخدمين من خلال عقد ضار مصمم بعناية.

أولاً، قام القرصنة بإنشاء عقد خبيث يحمل اسم GPT على Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) وجذب المستخدمين للتفاعل معه عن طريق توزيع الرموز المميزة.

عندما يتفاعل المستخدمون مع هذا العقد الضار، يُطلب منهم الموافقة على استخدام العقد للرموز في محفظتهم. إذا وافق المستخدم على هذا الطلب، يزيد العقد الضار تلقائياً من حدود الغاز بناءً على رصيد محفظة المستخدم، مما يؤدي إلى زيادة استهلاك الغاز في المعاملات التالية.

من خلال استغلال الحد العالي للغاز المقدم من المستخدم ، يستخدم العقد الخبيث الغاز الزائد لإطلاق عملة CHI (يمكن استخدام عملة CHI كتعويض غاز). بعد تراكم عدد كبير من عملات CHI ، يمكن للقراصنة حرق هذه العملات لاسترداد الغاز عند تدمير العقد.

https://x.com/SlowMist_Team/status/1640614440294035456

من خلال هذه الطريقة، يحقق المخترق أرباحًا ذكية من رسوم الغاز التي يدفعها المستخدم، بينما قد لا يكون المستخدم على علم بأنه دفع رسوم غاز إضافية. كان المستخدم يتوقع في البداية الربح من بيع الرموز المجانية المستلمة، ولكنه في النهاية فقد أصوله الأساسية بدلاً من ذلك.

أدوات الباب الخلفي

https://x.com/evilcos/status/1593525621992599552

أثناء عملية المطالبة بالإنزال الجوي ، يحتاج بعض المستخدمين إلى تنزيل المكونات الإضافية لمهام مثل الترجمة أو التحقق من ندرة الرموز المميزة. ومع ذلك ، فإن أمان هذه المكونات الإضافية مشكوك فيه ، ولا يقوم بعض المستخدمين بتنزيلها من مصادر رسمية ، مما يزيد بشكل كبير من خطر تنزيل المكونات الإضافية باستخدام الأبواب الخلفية.

بالإضافة إلى ذلك ، لاحظنا خدمات عبر الإنترنت تبيع نصوصا للمطالبة بالإنزال الجوي ، مدعية أتمتة تفاعلات الدفعات بكفاءة. ومع ذلك ، يرجى الانتباه إلى أن تنزيل وتشغيل البرامج النصية التي لم يتم التحقق منها وغير المراجعة أمر محفوف بالمخاطر للغاية ، حيث لا يمكنك التأكد من مصدر البرنامج النصي أو وظائفه الفعلية. قد تحتوي هذه البرامج النصية على تعليمات برمجية ضارة ، مما يشكل تهديدات محتملة مثل سرقة المفاتيح الخاصة أو العبارات الأولية ، أو تنفيذ إجراءات أخرى غير مصرح بها. علاوة على ذلك ، فإن بعض المستخدمين ، عند الانخراط في هذه الأنواع من العمليات المحفوفة بالمخاطر ، إما ليس لديهم برنامج مكافحة فيروسات مثبت أو تم تعطيله ، مما قد يمنعهم من اكتشاف ما إذا كانت أجهزتهم قد تعرضت للاختراق بواسطة برامج ضارة ، مما يؤدي إلى مزيد من الضرر.

استنتاج

في هذا الدليل، قمنا بتسليط الضوء على المخاطر المختلفة المرتبطة بطلب توزيعات مجانية من خلال تحليل تكتيكات الاحتيال الشائعة. تعد التوزيعات المجانية استراتيجية تسويقية شائعة، ولكن يمكن للمستخدمين تقليل مخاطر فقدان الأصول أثناء العملية عن طريق اتخاذ الاحتياطات التالية:

• تحقق بدقة: دائمًا ما يجب التحقق مرتين من عناوين URL عند زيارة مواقع توزيع المكافآت الجوائز الهوائية. تأكد من صحتها من خلال الحسابات الرسمية أو الإعلانات، والنظر في تثبيت مكونات إضافية لكشف مخاطر الاحتيال مثل Scam Sniffer.

• استخدم محافظ SegreGated: احتفظ بمبالغ صغيرة فقط من الأموال في المحافظ المستخدمة للتوزيعات المجانية، بينما تخزن المبالغ الأكبر في محفظة باردة.

• كن حذرًا مع توزيعات الهواء المجهولة: لا تتفاعل أو توافق على المعاملات التي تشمل رموز توزيع الهواء من مصادر مجهولة.

• تحقق من حدود الغاز: قم دائمًا بمراجعة حد الغاز قبل تأكيد العملية، خاصة إذا كان غير عادي بشكل غير معتاد.

• استخدام برنامج مكافحة الفيروسات الموثوق به: قم بتمكين حماية في الوقت الحقيقي وتحديث برنامج مكافحة الفيروسات بانتظام لضمان حجب أحدث التهديدات.

تنصل من المسؤولية:

1. تمت إعادة طبع هذه المقالة من [SunSec], جميع حقوق النشر تنتمي إلى الكاتب الأصلي [SlowMist]. إذا كان هناك اعتراضات على هذا الطبعة المستنسخة، يرجى التواصل مع بوابة تعلمالفريق، وسيتولون التعامل معه بسرعة.
2. تنصيح المسؤولية: الآراء والآراء المعبر عنها في هذه المقالة هي فقط تلك المؤلف ولا تشكل أي نصيحة استثمارية.
3. يتم إجراء ترجمات المقال إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر غير ذلك، فإن نسخ أو توزيع أو نسخ المقالات المترجمة ممنوع.