เข้าสู่ระบบ
ลงทะเบียน
สแกนคิวอาร์โค้ดเพื่อดาวน์โหลดแอปมือถือ
เลือกภาษาและภูมิภาค
简体中文EnglishTiếng Việt繁體中文РусскийPortuguês (Portugal)ไทยIndonesia日本語بالعربيةУкраїнськаPortuguês (Brasil)
ปรับเปลี่ยนสีชาร์ตแท่งเทียน
ปรับเปลี่ยนเวลา%
Learn
Um Guia para Iniciantes sobre Segurança Web3: Como Evitar Golpes de Airdrop

Um Guia para Iniciantes sobre Segurança Web3: Como Evitar Golpes de Airdrop

Principiante9/15/2024, 6:25:09 PM
As airdrops podem rapidamente impulsionar um projeto da obscuridade para o centro das atenções, ajudando-o a construir rapidamente uma base de usuários e aumentar a visibilidade de mercado. No entanto, desde sites falsos até ferramentas com portas dos fundos, hackers armaram armadilhas ao longo do processo de airdrop. Este guia analisará golpes de airdrop comuns para ajudá-lo a evitar essas armadilhas.
TutorialAirdrop

Background

No nosso guia anterior sobre segurança Web3, abordamos o tema do phishing multisig, discutindo omecânica das carteiras multisig, como os atacantes os exploram e como proteger a sua carteira de assinaturas maliciosas. Nesta edição, vamos aprofundar uma tática de marketing amplamente utilizada tanto nas indústrias tradicionais como nas criptomoedas - airdrops.

Os airdrops podem impulsionar rapidamente um projeto da obscuridade para o destaque, ajudando-o a construir rapidamente uma base de usuários e aumentar a visibilidade no mercado. Normalmente, os usuários participam de projetos Web3 clicando em links e interagindo com o projeto para reivindicar tokens airdropped. No entanto, desde sites falsos até ferramentas com backdoors, os hackers têm armado armadilhas ao longo do processo de airdrop. Este guia analisará os golpes de airdrop comuns para ajudá-lo a evitar essas armadilhas.

O que é um Airdrop?

Um airdrop ocorre quando um projeto Web3 distribui tokens gratuitos para endereços de carteira específicos para aumentar sua visibilidade e atrair os primeiros usuários. Este é um dos métodos mais diretos para os projetos ganharem uma base de usuários. Os Airdrops geralmente podem ser categorizados nos seguintes tipos com base em como são reivindicados:

  • Baseado em tarefas: Completar tarefas especificadas pelo projeto, como compartilhar conteúdo ou curtir posts.

  • Baseado em interação: Executar ações como trocas de tokens, envio/recebimento de tokens ou operações entre cadeias.

  • Baseado em holding: Manter tokens especificados do projeto para se qualificar para o airdrop.

  • Baseado em Staking: Ganhar tokens airdrop através de staking de um único ou dois ativos, fornecendo liquidez, ou bloqueio de tokens a longo prazo.

Riscos na Reivindicação de Airdrops

Esquemas de Airdrop Falsos

Estes golpes podem ser divididos em vários tipos:

  1. Contas Oficiais Sequestradas: Hackers podem assumir o controle da conta oficial de um projeto e publicar anúncios falsos de airdrop. Por exemplo, é comum ver alertas em plataformas de notícias como “A conta X ou Discord do Projeto Y foi hackeada; não clique em links de phishing compartilhados pelo hacker.” De acordo com o nosso Relatório de Segurança Blockchain e Anti-Lavagem de Dinheiro do Primeiro Semestre de 2024, houve 27 incidentes desse tipo apenas no primeiro semestre de 2024. Usuários, confiando na conta oficial, podem clicar nesses links e ser redirecionados para sites de phishing disfarçados como páginas de airdrop. Se eles inserirem suas chaves privadas, frases de recuperação ou concederem permissões, os hackers podem roubar seus ativos.

  1. Impersonação em Seções de Comentários: Hackers frequentemente criam contas falsas de projetos e postam nos comentários dos canais de mídia social do projeto real, afirmando oferecer airdrops. Usuários descuidados podem seguir esses links para sites de phishing. Por exemplo, a equipe de segurança SlowMist já analisou essas táticas e forneceu recomendações em um artigo intitulado 'Cuidado com a Impersonação em Seções de Comentários'. Além disso, após o anúncio de um airdrop legítimo, hackers rapidamente respondem postando links de phishing usando contas falsas que se assemelham às oficiais. Muitos usuários foram enganados ao instalar aplicativos maliciosos ou assinar transações em sites de phishing.

  1. Ataques de Engenharia Social: Em alguns casos, os golpistas infiltram-se em grupos de projetos Web3, visam utilizadores específicos e usam técnicas de engenharia social para os enganar. Eles podem fazer-se passar por funcionários de suporte ou membros úteis da comunidade, oferecendo-se para guiar os utilizadores no processo de reivindicação de um airdrop, apenas para roubar os seus ativos. Os utilizadores devem permanecer vigilantes e não confiar em ofertas não solicitadas de ajuda de indivíduos que afirmam ser representantes oficiais.

Tokens de Airdrop "Grátis"

Embora a maioria dos airdrops exija que os utilizadores completem tarefas, há casos em que os tokens aparecem na sua carteira sem qualquer ação da sua parte. Os hackers muitas vezes lançam tokens sem valor na sua carteira, esperando que interaja com eles ao transferi-los, visualizá-los ou tentar negociá-los numa bolsa descentralizada. No entanto, ao tentar interagir com estes Scam NFTs, poderá deparar-se com uma mensagem de erro a solicitar que visite um site para "desbloquear o seu item." Isto é uma armadilha que leva a um site de phishing.

Se um usuário visitar o site de phishing vinculado por um NFT de golpe, o hacker pode realizar as seguintes ações:

  • Realize uma “compra sem custos” de valiosos NFTs (consulte a análise de phishing de NFTs “compra sem custos”).

  • Roubar tokens de alto valor através de autorizações Approve ou assinaturas Permit.

  • Levar embora os ativos nativos.

Em seguida, vamos examinar como os hackers podem roubar as taxas de gás dos usuários por meio de um contrato malicioso cuidadosamente projetado.

Primeiro, o hacker criou um contrato malicioso chamado GPT na Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) e atraiu os usuários para interagir com ele, distribuindo tokens.

Quando os utilizadores interagem com este contrato malicioso, são solicitados a aprovar a utilização de tokens pelo contrato na sua carteira. Se o utilizador aprovar este pedido, o contrato malicioso aumenta automaticamente o limite de gás com base no saldo da carteira do utilizador, o que leva a um maior consumo de gás em transações subsequentes.

Ao explorar o alto limite de gás fornecido pelo usuário, o contrato malicioso usa o gás excedente para cunhar tokens CHI (tokens CHI podem ser usados para compensação de gás). Depois de acumular um grande número de tokens CHI, o hacker pode queimar esses tokens para receber um reembolso de gás quando o contrato for destruído.

https://x.com/SlowMist_Team/status/1640614440294035456

Através deste método, o hacker lucra astutamente com as taxas de gás do utilizador, enquanto o utilizador pode não estar ciente de que pagou taxas de gás extra. O utilizador inicialmente esperava lucrar com a venda das tokens airdropped, mas acabou por perder os seus ativos nativos.

Ferramentas de Backdoor

https://x.com/evilcos/status/1593525621992599552

Durante o processo de reivindicação de airdrops, alguns usuários precisam baixar plugins para tarefas como tradução ou verificação da raridade de tokens. No entanto, a segurança desses plugins é questionável e alguns usuários não os baixam de fontes oficiais, aumentando significativamente o risco de baixar plugins com backdoors.

Além disso, notamos serviços online que vendem scripts para reivindicar airdrops, alegando automatizar interações em lote de forma eficiente. No entanto, esteja ciente de que baixar e executar scripts não verificados e não revisados é extremamente arriscado, pois você não pode ter certeza da origem do script ou de suas funções reais. Esses scripts podem conter código malicioso, representando ameaças potenciais como roubo de chaves privadas ou frases de recuperação, ou realizando outras ações não autorizadas. Além disso, alguns usuários, ao se envolverem nessas operações arriscadas, não possuem software antivírus instalado ou o desativam, o que pode impedi-los de detectar se seu dispositivo foi comprometido por malware, levando a danos adicionais.

Conclusão

Neste guia, destacamos os vários riscos associados à reivindicação de airdrops, analisando táticas comuns de golpes. Airdrops são uma estratégia de marketing popular, mas os usuários podem reduzir o risco de perda de ativos durante o processo tomando as seguintes precauções:

  • Verifique minuciosamente: sempre verifique os URLs ao visitar sites de airdrop. Confirme-os através de contas oficiais ou anúncios e considere instalar plugins de detecção de riscos de phishing como Scam Sniffer.

  • Use Carteiras Segregadas: Mantenha apenas pequenas quantidades de fundos em carteiras usadas para airdrops, enquanto armazena quantidades maiores em uma carteira fria.

  • Tenha cuidado com Airdrops desconhecidos: Não interaja nem aprove transações envolvendo tokens de airdrop de fontes desconhecidas.

  • Verificar Limites de Gás: Sempre reveja o limite de gás antes de confirmar uma transação, especialmente se parece excepcionalmente alto.

  • Utilize software de antivírus confiável: Mantenha a proteção em tempo real ativa e atualize regularmente o seu software de antivírus para garantir que as ameaças mais recentes sejam bloqueadas.

Isenção de responsabilidade:

  1. Este artigo é reproduzido de[SunSec], Todos os direitos autorais pertencem ao autor original [SlowMist]. Se houver objeções a esta reedição, por favor entre em contato com oGate Learnequipa e eles tratarão disso prontamente.
  2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, é proibido copiar, distribuir ou plagiar os artigos traduzidos.

Antecedentes

O que é um Airdrop?

Riscos ao Reivindicar Airdrops

Ferramentas de Backdoor

Conclusão

Um Guia para Iniciantes sobre Segurança Web3: Como Evitar Golpes de Airdrop

Principiante9/15/2024, 6:25:09 PM
As airdrops podem rapidamente impulsionar um projeto da obscuridade para o centro das atenções, ajudando-o a construir rapidamente uma base de usuários e aumentar a visibilidade de mercado. No entanto, desde sites falsos até ferramentas com portas dos fundos, hackers armaram armadilhas ao longo do processo de airdrop. Este guia analisará golpes de airdrop comuns para ajudá-lo a evitar essas armadilhas.
TutorialAirdrop

Antecedentes

O que é um Airdrop?

Riscos ao Reivindicar Airdrops

Ferramentas de Backdoor

Conclusão

Background

No nosso guia anterior sobre segurança Web3, abordamos o tema do phishing multisig, discutindo omecânica das carteiras multisig, como os atacantes os exploram e como proteger a sua carteira de assinaturas maliciosas. Nesta edição, vamos aprofundar uma tática de marketing amplamente utilizada tanto nas indústrias tradicionais como nas criptomoedas - airdrops.

Os airdrops podem impulsionar rapidamente um projeto da obscuridade para o destaque, ajudando-o a construir rapidamente uma base de usuários e aumentar a visibilidade no mercado. Normalmente, os usuários participam de projetos Web3 clicando em links e interagindo com o projeto para reivindicar tokens airdropped. No entanto, desde sites falsos até ferramentas com backdoors, os hackers têm armado armadilhas ao longo do processo de airdrop. Este guia analisará os golpes de airdrop comuns para ajudá-lo a evitar essas armadilhas.

O que é um Airdrop?

Um airdrop ocorre quando um projeto Web3 distribui tokens gratuitos para endereços de carteira específicos para aumentar sua visibilidade e atrair os primeiros usuários. Este é um dos métodos mais diretos para os projetos ganharem uma base de usuários. Os Airdrops geralmente podem ser categorizados nos seguintes tipos com base em como são reivindicados:

  • Baseado em tarefas: Completar tarefas especificadas pelo projeto, como compartilhar conteúdo ou curtir posts.

  • Baseado em interação: Executar ações como trocas de tokens, envio/recebimento de tokens ou operações entre cadeias.

  • Baseado em holding: Manter tokens especificados do projeto para se qualificar para o airdrop.

  • Baseado em Staking: Ganhar tokens airdrop através de staking de um único ou dois ativos, fornecendo liquidez, ou bloqueio de tokens a longo prazo.

Riscos na Reivindicação de Airdrops

Esquemas de Airdrop Falsos

Estes golpes podem ser divididos em vários tipos:

  1. Contas Oficiais Sequestradas: Hackers podem assumir o controle da conta oficial de um projeto e publicar anúncios falsos de airdrop. Por exemplo, é comum ver alertas em plataformas de notícias como “A conta X ou Discord do Projeto Y foi hackeada; não clique em links de phishing compartilhados pelo hacker.” De acordo com o nosso Relatório de Segurança Blockchain e Anti-Lavagem de Dinheiro do Primeiro Semestre de 2024, houve 27 incidentes desse tipo apenas no primeiro semestre de 2024. Usuários, confiando na conta oficial, podem clicar nesses links e ser redirecionados para sites de phishing disfarçados como páginas de airdrop. Se eles inserirem suas chaves privadas, frases de recuperação ou concederem permissões, os hackers podem roubar seus ativos.

  1. Impersonação em Seções de Comentários: Hackers frequentemente criam contas falsas de projetos e postam nos comentários dos canais de mídia social do projeto real, afirmando oferecer airdrops. Usuários descuidados podem seguir esses links para sites de phishing. Por exemplo, a equipe de segurança SlowMist já analisou essas táticas e forneceu recomendações em um artigo intitulado 'Cuidado com a Impersonação em Seções de Comentários'. Além disso, após o anúncio de um airdrop legítimo, hackers rapidamente respondem postando links de phishing usando contas falsas que se assemelham às oficiais. Muitos usuários foram enganados ao instalar aplicativos maliciosos ou assinar transações em sites de phishing.

  1. Ataques de Engenharia Social: Em alguns casos, os golpistas infiltram-se em grupos de projetos Web3, visam utilizadores específicos e usam técnicas de engenharia social para os enganar. Eles podem fazer-se passar por funcionários de suporte ou membros úteis da comunidade, oferecendo-se para guiar os utilizadores no processo de reivindicação de um airdrop, apenas para roubar os seus ativos. Os utilizadores devem permanecer vigilantes e não confiar em ofertas não solicitadas de ajuda de indivíduos que afirmam ser representantes oficiais.

Tokens de Airdrop "Grátis"

Embora a maioria dos airdrops exija que os utilizadores completem tarefas, há casos em que os tokens aparecem na sua carteira sem qualquer ação da sua parte. Os hackers muitas vezes lançam tokens sem valor na sua carteira, esperando que interaja com eles ao transferi-los, visualizá-los ou tentar negociá-los numa bolsa descentralizada. No entanto, ao tentar interagir com estes Scam NFTs, poderá deparar-se com uma mensagem de erro a solicitar que visite um site para "desbloquear o seu item." Isto é uma armadilha que leva a um site de phishing.

Se um usuário visitar o site de phishing vinculado por um NFT de golpe, o hacker pode realizar as seguintes ações:

  • Realize uma “compra sem custos” de valiosos NFTs (consulte a análise de phishing de NFTs “compra sem custos”).

  • Roubar tokens de alto valor através de autorizações Approve ou assinaturas Permit.

  • Levar embora os ativos nativos.

Em seguida, vamos examinar como os hackers podem roubar as taxas de gás dos usuários por meio de um contrato malicioso cuidadosamente projetado.

Primeiro, o hacker criou um contrato malicioso chamado GPT na Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) e atraiu os usuários para interagir com ele, distribuindo tokens.

Quando os utilizadores interagem com este contrato malicioso, são solicitados a aprovar a utilização de tokens pelo contrato na sua carteira. Se o utilizador aprovar este pedido, o contrato malicioso aumenta automaticamente o limite de gás com base no saldo da carteira do utilizador, o que leva a um maior consumo de gás em transações subsequentes.

Ao explorar o alto limite de gás fornecido pelo usuário, o contrato malicioso usa o gás excedente para cunhar tokens CHI (tokens CHI podem ser usados para compensação de gás). Depois de acumular um grande número de tokens CHI, o hacker pode queimar esses tokens para receber um reembolso de gás quando o contrato for destruído.

https://x.com/SlowMist_Team/status/1640614440294035456

Através deste método, o hacker lucra astutamente com as taxas de gás do utilizador, enquanto o utilizador pode não estar ciente de que pagou taxas de gás extra. O utilizador inicialmente esperava lucrar com a venda das tokens airdropped, mas acabou por perder os seus ativos nativos.

Ferramentas de Backdoor

https://x.com/evilcos/status/1593525621992599552

Durante o processo de reivindicação de airdrops, alguns usuários precisam baixar plugins para tarefas como tradução ou verificação da raridade de tokens. No entanto, a segurança desses plugins é questionável e alguns usuários não os baixam de fontes oficiais, aumentando significativamente o risco de baixar plugins com backdoors.

Além disso, notamos serviços online que vendem scripts para reivindicar airdrops, alegando automatizar interações em lote de forma eficiente. No entanto, esteja ciente de que baixar e executar scripts não verificados e não revisados é extremamente arriscado, pois você não pode ter certeza da origem do script ou de suas funções reais. Esses scripts podem conter código malicioso, representando ameaças potenciais como roubo de chaves privadas ou frases de recuperação, ou realizando outras ações não autorizadas. Além disso, alguns usuários, ao se envolverem nessas operações arriscadas, não possuem software antivírus instalado ou o desativam, o que pode impedi-los de detectar se seu dispositivo foi comprometido por malware, levando a danos adicionais.

Conclusão

Neste guia, destacamos os vários riscos associados à reivindicação de airdrops, analisando táticas comuns de golpes. Airdrops são uma estratégia de marketing popular, mas os usuários podem reduzir o risco de perda de ativos durante o processo tomando as seguintes precauções:

  • Verifique minuciosamente: sempre verifique os URLs ao visitar sites de airdrop. Confirme-os através de contas oficiais ou anúncios e considere instalar plugins de detecção de riscos de phishing como Scam Sniffer.

  • Use Carteiras Segregadas: Mantenha apenas pequenas quantidades de fundos em carteiras usadas para airdrops, enquanto armazena quantidades maiores em uma carteira fria.

  • Tenha cuidado com Airdrops desconhecidos: Não interaja nem aprove transações envolvendo tokens de airdrop de fontes desconhecidas.

  • Verificar Limites de Gás: Sempre reveja o limite de gás antes de confirmar uma transação, especialmente se parece excepcionalmente alto.

  • Utilize software de antivírus confiável: Mantenha a proteção em tempo real ativa e atualize regularmente o seu software de antivírus para garantir que as ameaças mais recentes sejam bloqueadas.

Isenção de responsabilidade:

  1. Este artigo é reproduzido de[SunSec], Todos os direitos autorais pertencem ao autor original [SlowMist]. Se houver objeções a esta reedição, por favor entre em contato com oGate Learnequipa e eles tratarão disso prontamente.
  2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
  3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. Salvo indicação em contrário, é proibido copiar, distribuir ou plagiar os artigos traduzidos.
เริ่มตอนนี้
สมัครและรับรางวัล
$100