คู่มือสำหรับมือใหม่เกี่ยวกับความปลอดภัยของ Web3: การหลีกเลี่ยงการฉ้อโกง Airdrop
พื้นหลัง
ในครั้งสุดท้ายของเราคู่มือเบื้องต้นเกี่ยวกับความปลอดภัยของ Web3ในครั้งนี้เราจะพูดถึงกลยุทธ์การตลาดที่ได้รับความนิยมในอุตสาหกรรมทั้งในกลุ่มดั้งเดิมและกลุ่มสกุลเงินดิจิตอล: แอร์ดรอป
แอร์ดรอปเป็นวิธีที่ดีที่สุดสำหรับโครงการที่ต้องการเพิ่มความรู้สึกและสร้างผู้ใช้งานได้อย่างรวดเร็ว ขณะที่มีส่วนร่วมในโครงการ Web3 ผู้ใช้จะถูกขอให้คลิกที่ลิงก์และโต้ตอบกับทีมเพื่อเรียกร้องโทเค็น แต่ฮากเกอร์ก็ได้ตั้งกับกับก๊าซตรวจสอบตลอดกระบวนการ ตั้งแต่เว็บไซต์ปลอมถึงเครื่องมือที่เกี่ยวกับความผิด ความเสี่ยงเป็นจริง ในคู่มือนี้เราจะข้อถอดแบบโกงแอร์ดรอปและช่วยคุณปกป้องตัวเอง
Airdrop คืออะไร?
แอร์ดรอปคือเมื่อโครงการ Web3 แจกฟรีโทเค็นให้ที่อยู่ของกระเป๋าเงินเฉพาะเพื่อเพิ่มความเห็นใจและดึงดูดผู้ใช้ นี่เป็นวิธีที่เป็นไปได้ง่ายสำหรับโครงการที่จะได้รับความนิยม แอร์ดรอปสามารถจัดประเภทตามวิธีที่พวกเขาถูกเรียกร้อง:
- Task-based: ทำภารกิจเฉพาะ เช่น การแชร์ การกดถูกใจ หรือการกระทำอื่น ๆ
- โต้ตอบ: ดำเนินการเต็มรูปแบบเช่น การแลกเปลี่ยนโทเค็น การส่ง/รับโทเค็น หรือการดำเนินการทางโซนข้าม
- Holding-based: ถือโทเค็นบางรายเพื่อมีสิทธิ์รับแอร์ดรอป
- ตามการปักหลัก: โทเค็นเดิมพัน ให้สภาพคล่อง หรือล็อคสินทรัพย์เป็นระยะเวลาหนึ่งเพื่อรับโทเค็น Airdrop
ความเสี่ยงในการอ้างสิทธิ์ Airdrops
การโกงแอร์ดรอปปลอม
นี่คือบางประเภทของการโกงแอร์ดรอปที่พบบ่อย:
- มือปลอมยึดบัญชีอย่างเป็นทางการของโครงการเพื่อโพสต์ประกาศแอร์ดรอปปลอม พวกเรามักเห็นการแจ้งเตือนว่า “บัญชี X หรือบัญชี Discord ของโครงการบางรายถูก hack โปรดอย่าคลิกที่ลิงก์การหลอกลวงที่โพสต์โดยผู้โจมตี” ตามรายงานปี 2024 ของ SlowMist พบว่ามีการโจมตีบัญชีโครงการที่ถูก hack 27 ครั้งในครึ่งแรกของปีเท่านั้น ผู้ใช้ที่เชื่อถือบัญชีทางการคลิกที่ลิงก์เหล่านี้และถูกพาไปยังเว็บไซต์หลอกลวงที่ปลอมเป็นแอร์ดรอป หากคุณใส่คีย์ส่วนตัวหรือวลีเมล็ดพันธุ์หรือให้สิทธิ์ใดๆ บนเว็บไซต์เหล่านี้ มือปลอมสามารถขโมยทรัพย์สินของคุณ
- โจรสลัดใช้สำเนียงที่มีความเที่ยงธรรมสูงของบัญชีทีมโครงการเพื่อโพสต์ข้อความปลอมในส่วนความคิดเห็นของบัญชีโครงการอย่างเป็นทางการ เพื่อดึงดูดผู้ใช้ให้คลิกที่ลิงก์ขโมยข้อมูล ทีมด้านความปลอดภัยของ SlowMist ได้วิเคราะห์วิธีนี้มาก่อนและให้มาตรการป้องกัน (ดูทีมโปรเจ็กต์ปลอม: ระวังการฟิชชิ่งในส่วนความคิดเห็นของบัญชีปลอมนอกจากนี้เพิ่มเติมหลังจากที่โครงการอย่างเป็นทางการประกาศแอร์ดรอป ฮากเกอร์ก็ไปตามมาอย่างรวดเร็ว โดยใช้บัญชีเลียนแบบในการโพสต์อัพเดตมากมายที่มีลิงก์การจราจรบนแพลตฟอร์มโซเชียล ผู้ใช้มากมายที่ไม่สามารถระบุบัญชีปลอม จึงติดตั้งแอปฯปลอมหรือเปิดเว็บไซต์การจราจรที่นั่น และดำเนินการตรวจสอบสิทธิ์ในการให้ลายเซ็น
(https://x.com/im23pds/status/1765577919819362702)
- วิธีการหลอกลวงครั้งที่สามนั้นแย่กว่านั้นยิ่งกว่าและเป็นการหลอกลวงแบบคลาสสิก นักต้มตุ๋นแฝงตัวอยู่ในกลุ่มโครงการ Web3 เลือกผู้ใช้เป้าหมายและดําเนินการโจมตีวิศวกรรมสังคม บางครั้งพวกเขาใช้ airdrops เป็นเหยื่อล่อ "สอน" ผู้ใช้ถึงวิธีการโอนโทเค็นเพื่อรับ airdrops ผู้ใช้ควรระมัดระวังและไม่ไว้วางใจใครก็ตามที่ติดต่อพวกเขาว่าเป็น "ฝ่ายบริการลูกค้าอย่างเป็นทางการ" หรืออ้างว่า "สอน" วิธีการใช้งาน บุคคลเหล่านี้น่าจะเป็นนักต้มตุ๋น คุณอาจคิดว่าคุณแค่อ้างสิทธิ์ใน airdrop แต่จบลงด้วยความสูญเสียอย่างหนัก
โทเค็น Airdrop "ฟรี": เข้าใจความเสี่ยง
Airdrops เป็นเรื่องปกติในพื้นที่ crypto ซึ่งโดยทั่วไปผู้ใช้จะต้องทํางานบางอย่างให้เสร็จเพื่อรับโทเค็นฟรี อย่างไรก็ตามมีการปฏิบัติที่เป็นอันตรายที่ใช้ประโยชน์จากโอกาสเหล่านี้ ตัวอย่างเช่น แฮกเกอร์อาจ airdrop tokens โดยไม่มีมูลค่าจริงในกระเป๋าเงินของผู้ใช้ จากนั้นผู้ใช้เหล่านี้อาจพยายามโต้ตอบกับโทเค็นเหล่านี้ เช่น โอน ตรวจสอบมูลค่า หรือแม้แต่ซื้อขายในการแลกเปลี่ยนแบบกระจายอํานาจ แต่หลังจากวิศวกรรมย้อนกลับสัญญา Scam NFT เราพบว่าความพยายามในการถ่ายโอนหรือแสดงรายการ NFT ล้มเหลวและข้อความแสดงข้อผิดพลาดปรากฏขึ้น: "เยี่ยมชมเว็บไซต์เพื่อปลดล็อกรายการของคุณ" ทําให้ผู้ใช้เข้าใจผิดในการเยี่ยมชมเว็บไซต์ฟิชชิ่ง
หากผู้ใช้ตกอยู่ในสถานการณ์นี้และเข้าชมเว็บไซต์ฟิชชิ่ง แฮกเกอร์สามารถดำเนินการที่เสี่ยงต่อผู้ใช้ได้หลายอย่าง:
- การซื้อ NFT มูลค่าสูงเป็นจำนวนมากผ่านกลไก "ไม่มีค่าใช้จ่าย" (อ้างอิงถึงฟิชชิ่ง NFT ที่ไม่มีค่าใช้จ่าย“สำหรับรายละเอียดเพิ่มเติม)
- ขโมยการอนุมัติโทเค็นค่าสูงหรือการอนุญาตลายเซ็นต์
- ขโมยสินทรัพย์เกิดจากกระเป๋าเงินของผู้ใช้งาน
ถัดไปเรามาดูวิธีที่ฮากเกอร์ใช้สัญญาที่เตรียมอย่างรอบคอบเพื่อขโมยค่าธรรมเนียม Gas ของผู้ใช้ แรก ฮากเกอร์จะสร้างสัญญาที่ชั่วร้ายชื่อ GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) บน BSC โดยใช้โทเคนที่ได้รับจากแอร์ดรอปเพื่อดึงดูดผู้ใช้ให้มีปฏิสัมพันธ์กับมัน เมื่อผู้ใช้มีปฏิสัมพันธ์กับสัญญาชั่วร้ายนี้ จะป๊อปอัพคำขอให้อนุมัติสัญญาใช้โทเคนในกระเป๋าเงินของผู้ใช้ หากผู้ใช้อนุมัติคำขอนี้ สัญญาชั่วร้ายจะเพิ่มลิมิต Gas โดยอัตโนมัติตามยอดคงเหลือในกระเป๋าเงินของผู้ใช้ ทำให้ธุรกรรมที่เกิดขึ้นต่อมาใช้ค่าธรรมเนียม Gas มากขึ้น
โดยใช้ Gas limit สูงที่ผู้ใช้กำหนด, สัญญาที่เป็นประโยชน์ใช้ Gas เพิ่มเติมเพื่อเทียบกับการสร้าง CHI tokens (CHI tokens สามารถใช้เป็นการค่า Gas ได้) หลังจากสะสมจำนวนมากของ CHI tokens, ผู้โจมตีสามารถเผาแต้มเหล่านี้เพื่อรับการค่า Gas เมื่อสัญญาถูกทำลาย
(https://x.com/SlowMist_Team/status/1640614440294035456)
ผ่านวิธีนี้ แฮ็กเกอร์ได้กำไรอย่างชาญฉลาดจากค่า Gas ของผู้ใช้ และผู้ใช้อาจไม่รู้ว่าพวกเขาจ่ายค่า Gas เพิ่มเติม ผู้ใช้เริ่มต้นคิดว่าพวกเขาสามารถรับกำไรจากการขายโทเค็นที่ได้รับแอร์ดรอป แต่จบลงด้วยการถูกขโมยทรัพย์สินเกิดของตน
เครื่องมือที่มีบั๊กอยู่ด้านหลัง
( https://x.com/evilcos/status/1593525621992599552)
ในขั้นตอนการเรียกรับแอร์ดรอป บางผู้ใช้จำเป็นต้องดาวน์โหลดปลั๊กอินเพื่อแปลหรือสอบถามความหายากของโทเค็น รวมถึงฟังก์ชันอื่น ๆ ความปลอดภัยของปลั๊กอินเหล่านี้ยังมีความสงสัย และบางผู้ใช้ก็ดาวน์โหลดมันจากแหล่งที่ไม่เป็นทางการ เพิ่มความเสี่ยงในการดาวน์โหลดปลั๊กอินที่ถูกใส่บั้ก
นอกจากนี้เรายังสังเกตเห็นบริการออนไลน์ที่ขายสคริปต์ airdrop ที่อ้างว่าทําให้การโต้ตอบจํานวนมากเป็นไปโดยอัตโนมัติ แม้ว่าสิ่งนี้จะฟังดูมีประสิทธิภาพ แต่ผู้ใช้ควรระมัดระวังเนื่องจากการดาวน์โหลดสคริปต์ที่ไม่ได้รับการยืนยันนั้นมีความเสี่ยงอย่างยิ่ง คุณไม่สามารถแน่ใจในแหล่งที่มาหรือฟังก์ชันการทํางานจริงของสคริปต์ อาจมีรหัสที่เป็นอันตรายซึ่งอาจขู่ว่าจะขโมยคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์หรือดําเนินการอื่น ๆ ที่ไม่ได้รับอนุญาต นอกจากนี้ผู้ใช้บางคนดําเนินการที่มีความเสี่ยงดังกล่าวโดยไม่มีซอฟต์แวร์ป้องกันไวรัสซึ่งอาจนําไปสู่การติดเชื้อโทรจันที่ตรวจไม่พบส่งผลให้อุปกรณ์ของพวกเขาเสียหาย
สรุป
คู่มือนี้อธิบายเป็นส่วนใหญ่เกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการเรียกรับแอร์ดรอปโดยการวิเคราะห์การหลอกลวง โครงการมากมายตอนนี้ใช้แอร์ดรอปเป็นเครื่องมือทางการตลาด ผู้ใช้สามารถดำเนินการดังต่อไปนี้เพื่อลดความเสี่ยงของการสูญเสียสินทรัพย์ขณะที่เรียกรับแอร์ดรอป:
- การตรวจสอบหลายระบบ: เมื่อเข้าชมเว็บไซต์แอร์ดรอป โปรดตรวจสอบ URL อย่างรอบคอบ ยืนยันผ่านบัญชีโปรเจคทางการหรือช่องทางประกาศทางการ คุณยังสามารถติดตั้งปลั๊กอินป้องกันความเสี่ยงจากการโกง (เช่น Scam Sniffer) เพื่อช่วยระบุเว็บไซต์ที่โกง
- การแบ่งกลุ่มกระเป๋าเงิน: ใช้กระเป๋าเงินที่มีเงินคงเหลือน้อยสำหรับการเรียกเก็บเงินแอร์ดรอป และเก็บเงินจำนวนมากในกระเป๋าเงินที่เย็น
- ระมัดระวังกับ Airdrop Tokens: ระวัง Tokens ที่ได้รับจากแอร์ดรอปจากแหล่งที่ไม่รู้จัก หลีกเลี่ยงการอนุญาตหรือเซ็นสัญญาณธุรกรรมอย่างห่วงว่องไว
- ตรวจสอบขีดจำกัดของก๊าซ: ให้ความสำคัญกับว่าขีดจำกัดของก๊าซสำหรับการทำธุรกรรมมีค่าสูงเกินไปหรือไม่
- ใช้ซอฟต์แวร์ป้องกันไวรัส: ใช้ซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียง (เช่น Kaspersky, AVG, เป็นต้น) เพื่อเปิดใช้งานการป้องกันแบบเรียลไทม์และตรวจสอบว่านิยามไวรัสเป็นเวอร์ชันล่าสุด
ข้อความประกาศ
- บทความนี้ถูกเผยแพร่ใหม่จากเทคโนโลยี SlowMistลิขสิทธิ์เป็นของผู้เขียนต้นฉบับ [SlowMist Security Team] หากมีการคัดค้านการพิมพ์ซ้ํานี้โปรดติดต่อ เกต เลิร์นทีมงานและพวกเขาจะดูแลมันอย่างรวดเร็ว
- คำประกาศความรับผิดชอบ: มุมมองและความเห็นที่แสดงในบทความนี้เป็นเพียงความเห็นของผู้เขียนเท่านั้นและไม่เป็นการให้คำแนะนำเกี่ยวกับการลงทุนใด ๆ
- ทีม Gate Learn ได้แปลบทความเป็นภาษาอื่น ๆ การคัดลอก การกระจาย หรือการลอกเลียนแบบบทความที่แปลนั้นถือเป็นการละเมิดลิขสิทธิ์ ยกเว้นที่ระบุไว้
บทความที่เกี่ยวข้อง
คู่มือสำหรับผู้เริ่มต้นเทรด
คู่มือสำหรับผู้เริ่มต้นสู่ TradingView
ความเสี่ยงที่คุณต้องระวังเมื่อซื้อขาย Crypto
คู่มือสำหรับมือใหม่เกี่ยวกับความปลอดภัยของ Web3: การหลีกเลี่ยงการฉ้อโกง Airdrop
พื้นหลัง
ในครั้งสุดท้ายของเราคู่มือเบื้องต้นเกี่ยวกับความปลอดภัยของ Web3ในครั้งนี้เราจะพูดถึงกลยุทธ์การตลาดที่ได้รับความนิยมในอุตสาหกรรมทั้งในกลุ่มดั้งเดิมและกลุ่มสกุลเงินดิจิตอล: แอร์ดรอป
แอร์ดรอปเป็นวิธีที่ดีที่สุดสำหรับโครงการที่ต้องการเพิ่มความรู้สึกและสร้างผู้ใช้งานได้อย่างรวดเร็ว ขณะที่มีส่วนร่วมในโครงการ Web3 ผู้ใช้จะถูกขอให้คลิกที่ลิงก์และโต้ตอบกับทีมเพื่อเรียกร้องโทเค็น แต่ฮากเกอร์ก็ได้ตั้งกับกับก๊าซตรวจสอบตลอดกระบวนการ ตั้งแต่เว็บไซต์ปลอมถึงเครื่องมือที่เกี่ยวกับความผิด ความเสี่ยงเป็นจริง ในคู่มือนี้เราจะข้อถอดแบบโกงแอร์ดรอปและช่วยคุณปกป้องตัวเอง
Airdrop คืออะไร?
แอร์ดรอปคือเมื่อโครงการ Web3 แจกฟรีโทเค็นให้ที่อยู่ของกระเป๋าเงินเฉพาะเพื่อเพิ่มความเห็นใจและดึงดูดผู้ใช้ นี่เป็นวิธีที่เป็นไปได้ง่ายสำหรับโครงการที่จะได้รับความนิยม แอร์ดรอปสามารถจัดประเภทตามวิธีที่พวกเขาถูกเรียกร้อง:
- Task-based: ทำภารกิจเฉพาะ เช่น การแชร์ การกดถูกใจ หรือการกระทำอื่น ๆ
- โต้ตอบ: ดำเนินการเต็มรูปแบบเช่น การแลกเปลี่ยนโทเค็น การส่ง/รับโทเค็น หรือการดำเนินการทางโซนข้าม
- Holding-based: ถือโทเค็นบางรายเพื่อมีสิทธิ์รับแอร์ดรอป
- ตามการปักหลัก: โทเค็นเดิมพัน ให้สภาพคล่อง หรือล็อคสินทรัพย์เป็นระยะเวลาหนึ่งเพื่อรับโทเค็น Airdrop
ความเสี่ยงในการอ้างสิทธิ์ Airdrops
การโกงแอร์ดรอปปลอม
นี่คือบางประเภทของการโกงแอร์ดรอปที่พบบ่อย:
- มือปลอมยึดบัญชีอย่างเป็นทางการของโครงการเพื่อโพสต์ประกาศแอร์ดรอปปลอม พวกเรามักเห็นการแจ้งเตือนว่า “บัญชี X หรือบัญชี Discord ของโครงการบางรายถูก hack โปรดอย่าคลิกที่ลิงก์การหลอกลวงที่โพสต์โดยผู้โจมตี” ตามรายงานปี 2024 ของ SlowMist พบว่ามีการโจมตีบัญชีโครงการที่ถูก hack 27 ครั้งในครึ่งแรกของปีเท่านั้น ผู้ใช้ที่เชื่อถือบัญชีทางการคลิกที่ลิงก์เหล่านี้และถูกพาไปยังเว็บไซต์หลอกลวงที่ปลอมเป็นแอร์ดรอป หากคุณใส่คีย์ส่วนตัวหรือวลีเมล็ดพันธุ์หรือให้สิทธิ์ใดๆ บนเว็บไซต์เหล่านี้ มือปลอมสามารถขโมยทรัพย์สินของคุณ
- โจรสลัดใช้สำเนียงที่มีความเที่ยงธรรมสูงของบัญชีทีมโครงการเพื่อโพสต์ข้อความปลอมในส่วนความคิดเห็นของบัญชีโครงการอย่างเป็นทางการ เพื่อดึงดูดผู้ใช้ให้คลิกที่ลิงก์ขโมยข้อมูล ทีมด้านความปลอดภัยของ SlowMist ได้วิเคราะห์วิธีนี้มาก่อนและให้มาตรการป้องกัน (ดูทีมโปรเจ็กต์ปลอม: ระวังการฟิชชิ่งในส่วนความคิดเห็นของบัญชีปลอมนอกจากนี้เพิ่มเติมหลังจากที่โครงการอย่างเป็นทางการประกาศแอร์ดรอป ฮากเกอร์ก็ไปตามมาอย่างรวดเร็ว โดยใช้บัญชีเลียนแบบในการโพสต์อัพเดตมากมายที่มีลิงก์การจราจรบนแพลตฟอร์มโซเชียล ผู้ใช้มากมายที่ไม่สามารถระบุบัญชีปลอม จึงติดตั้งแอปฯปลอมหรือเปิดเว็บไซต์การจราจรที่นั่น และดำเนินการตรวจสอบสิทธิ์ในการให้ลายเซ็น
(https://x.com/im23pds/status/1765577919819362702)
- วิธีการหลอกลวงครั้งที่สามนั้นแย่กว่านั้นยิ่งกว่าและเป็นการหลอกลวงแบบคลาสสิก นักต้มตุ๋นแฝงตัวอยู่ในกลุ่มโครงการ Web3 เลือกผู้ใช้เป้าหมายและดําเนินการโจมตีวิศวกรรมสังคม บางครั้งพวกเขาใช้ airdrops เป็นเหยื่อล่อ "สอน" ผู้ใช้ถึงวิธีการโอนโทเค็นเพื่อรับ airdrops ผู้ใช้ควรระมัดระวังและไม่ไว้วางใจใครก็ตามที่ติดต่อพวกเขาว่าเป็น "ฝ่ายบริการลูกค้าอย่างเป็นทางการ" หรืออ้างว่า "สอน" วิธีการใช้งาน บุคคลเหล่านี้น่าจะเป็นนักต้มตุ๋น คุณอาจคิดว่าคุณแค่อ้างสิทธิ์ใน airdrop แต่จบลงด้วยความสูญเสียอย่างหนัก
โทเค็น Airdrop "ฟรี": เข้าใจความเสี่ยง
Airdrops เป็นเรื่องปกติในพื้นที่ crypto ซึ่งโดยทั่วไปผู้ใช้จะต้องทํางานบางอย่างให้เสร็จเพื่อรับโทเค็นฟรี อย่างไรก็ตามมีการปฏิบัติที่เป็นอันตรายที่ใช้ประโยชน์จากโอกาสเหล่านี้ ตัวอย่างเช่น แฮกเกอร์อาจ airdrop tokens โดยไม่มีมูลค่าจริงในกระเป๋าเงินของผู้ใช้ จากนั้นผู้ใช้เหล่านี้อาจพยายามโต้ตอบกับโทเค็นเหล่านี้ เช่น โอน ตรวจสอบมูลค่า หรือแม้แต่ซื้อขายในการแลกเปลี่ยนแบบกระจายอํานาจ แต่หลังจากวิศวกรรมย้อนกลับสัญญา Scam NFT เราพบว่าความพยายามในการถ่ายโอนหรือแสดงรายการ NFT ล้มเหลวและข้อความแสดงข้อผิดพลาดปรากฏขึ้น: "เยี่ยมชมเว็บไซต์เพื่อปลดล็อกรายการของคุณ" ทําให้ผู้ใช้เข้าใจผิดในการเยี่ยมชมเว็บไซต์ฟิชชิ่ง
หากผู้ใช้ตกอยู่ในสถานการณ์นี้และเข้าชมเว็บไซต์ฟิชชิ่ง แฮกเกอร์สามารถดำเนินการที่เสี่ยงต่อผู้ใช้ได้หลายอย่าง:
- การซื้อ NFT มูลค่าสูงเป็นจำนวนมากผ่านกลไก "ไม่มีค่าใช้จ่าย" (อ้างอิงถึงฟิชชิ่ง NFT ที่ไม่มีค่าใช้จ่าย“สำหรับรายละเอียดเพิ่มเติม)
- ขโมยการอนุมัติโทเค็นค่าสูงหรือการอนุญาตลายเซ็นต์
- ขโมยสินทรัพย์เกิดจากกระเป๋าเงินของผู้ใช้งาน
ถัดไปเรามาดูวิธีที่ฮากเกอร์ใช้สัญญาที่เตรียมอย่างรอบคอบเพื่อขโมยค่าธรรมเนียม Gas ของผู้ใช้ แรก ฮากเกอร์จะสร้างสัญญาที่ชั่วร้ายชื่อ GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) บน BSC โดยใช้โทเคนที่ได้รับจากแอร์ดรอปเพื่อดึงดูดผู้ใช้ให้มีปฏิสัมพันธ์กับมัน เมื่อผู้ใช้มีปฏิสัมพันธ์กับสัญญาชั่วร้ายนี้ จะป๊อปอัพคำขอให้อนุมัติสัญญาใช้โทเคนในกระเป๋าเงินของผู้ใช้ หากผู้ใช้อนุมัติคำขอนี้ สัญญาชั่วร้ายจะเพิ่มลิมิต Gas โดยอัตโนมัติตามยอดคงเหลือในกระเป๋าเงินของผู้ใช้ ทำให้ธุรกรรมที่เกิดขึ้นต่อมาใช้ค่าธรรมเนียม Gas มากขึ้น
โดยใช้ Gas limit สูงที่ผู้ใช้กำหนด, สัญญาที่เป็นประโยชน์ใช้ Gas เพิ่มเติมเพื่อเทียบกับการสร้าง CHI tokens (CHI tokens สามารถใช้เป็นการค่า Gas ได้) หลังจากสะสมจำนวนมากของ CHI tokens, ผู้โจมตีสามารถเผาแต้มเหล่านี้เพื่อรับการค่า Gas เมื่อสัญญาถูกทำลาย
(https://x.com/SlowMist_Team/status/1640614440294035456)
ผ่านวิธีนี้ แฮ็กเกอร์ได้กำไรอย่างชาญฉลาดจากค่า Gas ของผู้ใช้ และผู้ใช้อาจไม่รู้ว่าพวกเขาจ่ายค่า Gas เพิ่มเติม ผู้ใช้เริ่มต้นคิดว่าพวกเขาสามารถรับกำไรจากการขายโทเค็นที่ได้รับแอร์ดรอป แต่จบลงด้วยการถูกขโมยทรัพย์สินเกิดของตน
เครื่องมือที่มีบั๊กอยู่ด้านหลัง
( https://x.com/evilcos/status/1593525621992599552)
ในขั้นตอนการเรียกรับแอร์ดรอป บางผู้ใช้จำเป็นต้องดาวน์โหลดปลั๊กอินเพื่อแปลหรือสอบถามความหายากของโทเค็น รวมถึงฟังก์ชันอื่น ๆ ความปลอดภัยของปลั๊กอินเหล่านี้ยังมีความสงสัย และบางผู้ใช้ก็ดาวน์โหลดมันจากแหล่งที่ไม่เป็นทางการ เพิ่มความเสี่ยงในการดาวน์โหลดปลั๊กอินที่ถูกใส่บั้ก
นอกจากนี้เรายังสังเกตเห็นบริการออนไลน์ที่ขายสคริปต์ airdrop ที่อ้างว่าทําให้การโต้ตอบจํานวนมากเป็นไปโดยอัตโนมัติ แม้ว่าสิ่งนี้จะฟังดูมีประสิทธิภาพ แต่ผู้ใช้ควรระมัดระวังเนื่องจากการดาวน์โหลดสคริปต์ที่ไม่ได้รับการยืนยันนั้นมีความเสี่ยงอย่างยิ่ง คุณไม่สามารถแน่ใจในแหล่งที่มาหรือฟังก์ชันการทํางานจริงของสคริปต์ อาจมีรหัสที่เป็นอันตรายซึ่งอาจขู่ว่าจะขโมยคีย์ส่วนตัวหรือวลีเมล็ดพันธุ์หรือดําเนินการอื่น ๆ ที่ไม่ได้รับอนุญาต นอกจากนี้ผู้ใช้บางคนดําเนินการที่มีความเสี่ยงดังกล่าวโดยไม่มีซอฟต์แวร์ป้องกันไวรัสซึ่งอาจนําไปสู่การติดเชื้อโทรจันที่ตรวจไม่พบส่งผลให้อุปกรณ์ของพวกเขาเสียหาย
สรุป
คู่มือนี้อธิบายเป็นส่วนใหญ่เกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการเรียกรับแอร์ดรอปโดยการวิเคราะห์การหลอกลวง โครงการมากมายตอนนี้ใช้แอร์ดรอปเป็นเครื่องมือทางการตลาด ผู้ใช้สามารถดำเนินการดังต่อไปนี้เพื่อลดความเสี่ยงของการสูญเสียสินทรัพย์ขณะที่เรียกรับแอร์ดรอป:
- การตรวจสอบหลายระบบ: เมื่อเข้าชมเว็บไซต์แอร์ดรอป โปรดตรวจสอบ URL อย่างรอบคอบ ยืนยันผ่านบัญชีโปรเจคทางการหรือช่องทางประกาศทางการ คุณยังสามารถติดตั้งปลั๊กอินป้องกันความเสี่ยงจากการโกง (เช่น Scam Sniffer) เพื่อช่วยระบุเว็บไซต์ที่โกง
- การแบ่งกลุ่มกระเป๋าเงิน: ใช้กระเป๋าเงินที่มีเงินคงเหลือน้อยสำหรับการเรียกเก็บเงินแอร์ดรอป และเก็บเงินจำนวนมากในกระเป๋าเงินที่เย็น
- ระมัดระวังกับ Airdrop Tokens: ระวัง Tokens ที่ได้รับจากแอร์ดรอปจากแหล่งที่ไม่รู้จัก หลีกเลี่ยงการอนุญาตหรือเซ็นสัญญาณธุรกรรมอย่างห่วงว่องไว
- ตรวจสอบขีดจำกัดของก๊าซ: ให้ความสำคัญกับว่าขีดจำกัดของก๊าซสำหรับการทำธุรกรรมมีค่าสูงเกินไปหรือไม่
- ใช้ซอฟต์แวร์ป้องกันไวรัส: ใช้ซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียง (เช่น Kaspersky, AVG, เป็นต้น) เพื่อเปิดใช้งานการป้องกันแบบเรียลไทม์และตรวจสอบว่านิยามไวรัสเป็นเวอร์ชันล่าสุด
ข้อความประกาศ
- บทความนี้ถูกเผยแพร่ใหม่จากเทคโนโลยี SlowMistลิขสิทธิ์เป็นของผู้เขียนต้นฉบับ [SlowMist Security Team] หากมีการคัดค้านการพิมพ์ซ้ํานี้โปรดติดต่อ เกต เลิร์นทีมงานและพวกเขาจะดูแลมันอย่างรวดเร็ว
- คำประกาศความรับผิดชอบ: มุมมองและความเห็นที่แสดงในบทความนี้เป็นเพียงความเห็นของผู้เขียนเท่านั้นและไม่เป็นการให้คำแนะนำเกี่ยวกับการลงทุนใด ๆ
- ทีม Gate Learn ได้แปลบทความเป็นภาษาอื่น ๆ การคัดลอก การกระจาย หรือการลอกเลียนแบบบทความที่แปลนั้นถือเป็นการละเมิดลิขสิทธิ์ ยกเว้นที่ระบุไว้
บทความที่เกี่ยวข้อง
คู่มือสำหรับผู้เริ่มต้นเทรด
คู่มือสำหรับผู้เริ่มต้นสู่ TradingView