Web3 Güvenliği İçin Bir Başlangıç Kılavuzu: Airdrop Dolandırıcılığından Nasıl Kaçınılır
Arka plan
Web3 güvenliği konusundaki önceki rehberimizde, çoklu imza dolandırıcılığı konusunu ele aldık, tartıştıkmultisig cüzdanlarının mekanikleri, saldırganların bunları nasıl istismar ettiği ve cüzdanınızı kötü amaçlı imzalardan nasıl koruyacağınız. Bu bölümde, hem geleneksel hem de kripto endüstrilerinde yaygın olarak kullanılan bir pazarlama taktiğini inceleyeceğiz - airdrop'lar.
Airdroplar, bir projeyi hızla görünmezlikten öne çıkarabilir ve hızla bir kullanıcı tabanı oluşturmasına ve pazar görünürlüğünü artırmasına yardımcı olarak, projeyi hızla bir projeden tanınmışlığa taşıyabilir. Genellikle, kullanıcılar Web3 projelerine airdrop tokenleri talep etmek için bağlantılara tıklayarak ve projelerle etkileşime girerek katılır. Ancak sahte web sitelerinden arka kapılara sahip araçlara kadar, hacker'lar airdrop süreci boyunca tuzaklar kurmuşlardır. Bu kılavuz, bu tuzağı önlemenize yardımcı olmak için yaygın airdrop dolandırıcılıklarını analiz edecektir.
Airdrop nedir?
Airdrop, Web3 projelerinin görünürlüğünü artırmak ve erken kullanıcıları çekmek için belirli cüzdan adreslerine ücretsiz token dağıttığı durumlarda gerçekleşir. Bu, projelerin kullanıcı tabanı kazanmasının en doğrudan yöntemlerinden biridir. Airdroplar genellikle nasıl talep edildiklerine göre aşağıdaki türlerine ayrılabilir:
Görev Tabanlı: Proje tarafından belirlenen görevleri tamamlamak, içerik paylaşmak veya gönderileri beğenmek gibi.
Etkileşim Tabanlı: Token takasları, token gönderme/alma veya cross-chain işlemleri gibi eylemleri gerçekleştirme.
Holding-Based: Projeden belirtilen tokenleri tutarak airdrop için uygun hale gelme.
Staking Tabanlı: Tek ya da çift varlık staking, likidite sağlama veya uzun vadeli token kilitlenmesi aracılığıyla airdrop jetonları kazanma.
Airdropları Talep Etmekle İlgili Riskler
Sahte Airdrop Dolandırıcılıkları
Bu dolandırıcılıklar birkaç tipe ayrılabilir:
- Ele Geçirilen Resmi Hesaplar: Bilgisayar korsanları, bir projenin resmi hesabının kontrolünü ele geçirebilir ve sahte airdrop duyuruları yayınlayabilir. Örneğin, haber platformlarında "Project Y'nin X veya Discord hesabı saldırıya uğradı; Bilgisayar korsanı tarafından paylaşılan kimlik avı bağlantılarına tıklamayın." 2024 Yıl Ortası Blockchain Güvenliği ve Kara Para Aklamayı Önleme Raporumuza göre, yalnızca 2024'ün ilk yarısında bu tür 27 olay yaşandı. Resmi hesaba güvenen kullanıcılar bu bağlantılara tıklayabilir ve airdrop sayfaları kılığına girmiş kimlik avı sitelerine yönlendirilebilir. Özel anahtarlarını, tohum ifadelerini girerlerse veya izin verirlerse, bilgisayar korsanları varlıklarını çalabilir.
- Yorum Bölümlerinde Kimliğe Bürünme: Bilgisayar korsanları genellikle sahte proje hesapları oluşturur ve airdrop sunduğunu iddia ederek gerçek projenin sosyal medya kanallarının yorumlarında yayınlar. Dikkatli olmayan kullanıcılar, kimlik avı sitelerine giden bu bağlantıları takip edebilir. Örneğin, SlowMist güvenlik ekibi daha önce bu taktikleri analiz etmiş ve "Yorum Bölümlerinde Kimliğe Bürünmeye Dikkat Edin" başlıklı bir makalede önerilerde bulunmuştu. Ek olarak, meşru bir airdrop duyurulduktan sonra, bilgisayar korsanları, resmi hesaplara benzeyen sahte hesaplar kullanarak kimlik avı bağlantıları yayınlayarak hızlı bir şekilde yanıt verir. Birçok kullanıcı, kimlik avı sitelerinde kötü amaçlı uygulamalar yüklemesi veya işlemleri imzalaması için kandırıldı.
- Sosyal Mühendislik Saldırıları: Bazı durumlarda dolandırıcılar, Web3 proje gruplarına sızar, belirli kullanıcıları hedef alır ve onları aldatmak için sosyal mühendislik teknikleri kullanır. Destek personeli veya yardımcı topluluk üyeleri gibi rol yapabilirler ve kullanıcılara bir airdrop talebinin nasıl yapıldığı konusunda rehberlik etmek için yardım teklif edebilirler, ancak aslında varlıklarını çalmak amacındadırlar. Kullanıcılar dikkatli olmalı ve resmi temsilciler olduklarını iddia eden kişilerden gelen yardım tekliflerine güvenmemelidir.
"Ücretsiz" Airdrop Jetonları
Çoğu airdrop, kullanıcıların görevleri tamamlamasını gerektirse de, tokenlerin sizin tarafınızdan herhangi bir işlem yapılmadan cüzdanınızda göründüğü durumlar vardır. Bilgisayar korsanları genellikle değersiz tokenleri cüzdanınıza airdrop olarak gönderir ve bunları merkezi olmayan bir borsaya aktararak, görüntüleyerek veya takas etmeye çalışarak onlarla etkileşime gireceğinizi umarlar. Ancak, bu Dolandırıcılık NFT'leriyle etkileşime girmeye çalışırken, "öğenizin kilidini açmak" için bir web sitesini ziyaret etmenizi isteyen bir hata mesajıyla karşılaşabilirsiniz. Bu, bir kimlik avı sitesine yönlendiren bir tuzaktır.
Bir kullanıcı, Dolandırıcılık NFT'si tarafından bağlantı verilen bir dolandırıcılık web sitesini ziyaret ederse, hacker aşağıdaki işlemleri gerçekleştirebilir:
Değerli NFT'lerin "maliyetsiz satın alımını" gerçekleştirin ("maliyetsiz satın alım" NFT dolandırıcılık analizine bakınız).
Yetkilendirme veya İzin imzaları aracılığıyla yüksek değerli jetonları çalmak.
Yerel varlıkları alın.
Sonraki olarak, hackerların dikkatlice tasarlanmış kötü amaçlı bir sözleşme aracılığıyla kullanıcıların gaz ücretlerini nasıl çalabileceğini inceleyelim.
Öncelikle, hacker Binance Akıllı Zincir (BSC) üzerinde (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) adlı kötü niyetli bir sözleşme oluşturdu ve kullanıcıları jetonları havalandırarak etkileşime girmeye yönlendirdi.
Kullanıcılar bu kötü niyetli sözleşmeyle etkileşime geçtiğinde, cüzdanlarındaki jetonların sözleşmenin kullanımını onaylamaları istenir. Kullanıcı bu isteği onaylarsa, kötü niyetli sözleşme otomatik olarak kullanıcının cüzdan bakiyesine dayanarak gaz limitini artırır, bu da sonraki işlemlerde daha yüksek gaz tüketimine neden olur.
Kullanıcının sağladığı yüksek gaz limitini kullanarak, kötü niyetli sözleşme fazla gazı kullanarak CHI jetonları (CHI jetonları gaz tazminatı için kullanılabilir) çıkartır. Büyük miktarda CHI jetonu biriktirdikten sonra, hacker bu jetonları yakarak sözleşme yok edildiğinde bir gaz iadesi alabilir.
https://x.com/SlowMist_Team/status/1640614440294035456
Bu yöntemle, hacker kullanıcının gaz ücretlerinden akıllıca kar elde ederken, kullanıcı ekstra gaz ücreti ödediğinin farkında olmayabilir. Kullanıcı başlangıçta airdrop edilen jetonları satmaktan kar etmeyi beklerken, aslında yerel varlıklarını kaybetmiş olur.
Arka Kapı Araçları
https://x.com/evilcos/status/1593525621992599552
Airdrop talepleri sürecinde, bazı kullanıcılar çeviri veya jetonların nadirliğini kontrol etme gibi görevler için eklentiler indirmeleri gerekebilir. Ancak, bu eklentilerin güvenliği sorgulanabilir ve bazı kullanıcılar bunları resmi kaynaklardan indirmeyebilir, bu da eklentilerin arka kapıları olan şüpheli eklentileri indirme riskini önemli ölçüde artırır.
Ayrıca, verimli bir şekilde toplu etkileşimleri otomatikleştirdiğini iddia eden hava damlası talepleri için komut dosyaları satan çevrimiçi hizmetler fark ettik. Bununla birlikte, doğrulanmamış ve gözden geçirilmemiş komut dosyalarını indirip çalıştırmanın son derece riskli olduğunu unutmayın, çünkü komut dosyasının kaynağı veya gerçek işlevleri hakkında kesin bir şekilde emin olamazsınız. Bu komut dosyaları kötü amaçlı kod içerebilir ve özel anahtarları veya tohum ifadelerini çalma veya diğer yetkisiz işlemleri gerçekleştirme gibi potansiyel tehditler oluşturabilir. Dahası, bu tür riskli operasyonlara giren bazı kullanıcılar antivirüs yazılımı yüklü değildir veya devre dışı bırakılmıştır, bu da cihazlarının kötü amaçlı yazılımlar tarafından etkilenip etkilenmediğini tespit etmelerini engelleyebilir ve daha fazla zarara yol açabilir.
Sonuç
Bu kılavuzda, ortak dolandırıcılık taktiklerini analiz ederek airdrop talepleriyle ilişkili çeşitli riskleri vurguladık. Airdrop'lar popüler bir pazarlama stratejisidir, ancak kullanıcılar aşağıdaki önlemleri alarak süreç sırasında varlık kaybı riskini azaltabilirler.
Dikkatlice Doğrulayın: Airdrop web sitelerini ziyaret ederken her zaman URL'leri çift kontrol edin. Resmi hesaplar veya duyurular aracılığıyla onaylayın ve Scam Sniffer gibi phishing risk tespit eklentileri yüklemeyi düşünün.
SegreGated Cüzdanları Kullanın: Airdroplar için kullanılan cüzdanlarda sadece küçük miktarlarda fon tutun, daha büyük miktarları soğuk cüzdanlarda saklayın.
Bilinmeyen Airdroplar Konusunda Dikkatli Olun: Bilinmeyen kaynaklardan gelen airdrop jetonları ile etkileşime girmeyin veya onaylamayın.
Gaz Limitlerini Kontrol Edin: Özellikle olağandışı yüksek görünüyorsa, bir işlemi onaylamadan önce her zaman gaz limitini kontrol edin.
Güvenilir Antivirüs Yazılımı Kullanın: Gerçek zamanlı korumayı etkin tutun ve antivirüs yazılımınızı düzenli olarak güncelleyerek en son tehditlerin engellendiğinden emin olun.
Dikkat:
- Bu makale şuradan alıntılanmıştır [SunSec], Tüm telif hakları orijinal yazarına aittir [SlowMist]. If there are objections to this reprint, please contact the Gate Öğreninekip, ve hızlı bir şekilde ele alacaklar.
- Sorumluluk Feragatnamesi: Bu makalede yer alan görüşler yalnızca yazarına aittir ve herhangi bir yatırım tavsiyesi teşkil etmez.
- Makalelerin diğer dillere çevirileri, Gate Learn ekibi tarafından yapılır. Belirtilmedikçe, çevrilen makalelerin kopyalanması, dağıtılması veya kopyalanması yasaktır.
İlgili makaleler
Gate.io Ödünç Ver ve Kazan Nedir ve Nasıl Çalışır?
Tronscan Nedir ve Nasıl Kullanabilirsiniz?
Solscan Nedir ve Nasıl Kullanılır?
Web3 Güvenliği İçin Bir Başlangıç Kılavuzu: Airdrop Dolandırıcılığından Nasıl Kaçınılır
Arka plan
Web3 güvenliği konusundaki önceki rehberimizde, çoklu imza dolandırıcılığı konusunu ele aldık, tartıştıkmultisig cüzdanlarının mekanikleri, saldırganların bunları nasıl istismar ettiği ve cüzdanınızı kötü amaçlı imzalardan nasıl koruyacağınız. Bu bölümde, hem geleneksel hem de kripto endüstrilerinde yaygın olarak kullanılan bir pazarlama taktiğini inceleyeceğiz - airdrop'lar.
Airdroplar, bir projeyi hızla görünmezlikten öne çıkarabilir ve hızla bir kullanıcı tabanı oluşturmasına ve pazar görünürlüğünü artırmasına yardımcı olarak, projeyi hızla bir projeden tanınmışlığa taşıyabilir. Genellikle, kullanıcılar Web3 projelerine airdrop tokenleri talep etmek için bağlantılara tıklayarak ve projelerle etkileşime girerek katılır. Ancak sahte web sitelerinden arka kapılara sahip araçlara kadar, hacker'lar airdrop süreci boyunca tuzaklar kurmuşlardır. Bu kılavuz, bu tuzağı önlemenize yardımcı olmak için yaygın airdrop dolandırıcılıklarını analiz edecektir.
Airdrop nedir?
Airdrop, Web3 projelerinin görünürlüğünü artırmak ve erken kullanıcıları çekmek için belirli cüzdan adreslerine ücretsiz token dağıttığı durumlarda gerçekleşir. Bu, projelerin kullanıcı tabanı kazanmasının en doğrudan yöntemlerinden biridir. Airdroplar genellikle nasıl talep edildiklerine göre aşağıdaki türlerine ayrılabilir:
Görev Tabanlı: Proje tarafından belirlenen görevleri tamamlamak, içerik paylaşmak veya gönderileri beğenmek gibi.
Etkileşim Tabanlı: Token takasları, token gönderme/alma veya cross-chain işlemleri gibi eylemleri gerçekleştirme.
Holding-Based: Projeden belirtilen tokenleri tutarak airdrop için uygun hale gelme.
Staking Tabanlı: Tek ya da çift varlık staking, likidite sağlama veya uzun vadeli token kilitlenmesi aracılığıyla airdrop jetonları kazanma.
Airdropları Talep Etmekle İlgili Riskler
Sahte Airdrop Dolandırıcılıkları
Bu dolandırıcılıklar birkaç tipe ayrılabilir:
- Ele Geçirilen Resmi Hesaplar: Bilgisayar korsanları, bir projenin resmi hesabının kontrolünü ele geçirebilir ve sahte airdrop duyuruları yayınlayabilir. Örneğin, haber platformlarında "Project Y'nin X veya Discord hesabı saldırıya uğradı; Bilgisayar korsanı tarafından paylaşılan kimlik avı bağlantılarına tıklamayın." 2024 Yıl Ortası Blockchain Güvenliği ve Kara Para Aklamayı Önleme Raporumuza göre, yalnızca 2024'ün ilk yarısında bu tür 27 olay yaşandı. Resmi hesaba güvenen kullanıcılar bu bağlantılara tıklayabilir ve airdrop sayfaları kılığına girmiş kimlik avı sitelerine yönlendirilebilir. Özel anahtarlarını, tohum ifadelerini girerlerse veya izin verirlerse, bilgisayar korsanları varlıklarını çalabilir.
- Yorum Bölümlerinde Kimliğe Bürünme: Bilgisayar korsanları genellikle sahte proje hesapları oluşturur ve airdrop sunduğunu iddia ederek gerçek projenin sosyal medya kanallarının yorumlarında yayınlar. Dikkatli olmayan kullanıcılar, kimlik avı sitelerine giden bu bağlantıları takip edebilir. Örneğin, SlowMist güvenlik ekibi daha önce bu taktikleri analiz etmiş ve "Yorum Bölümlerinde Kimliğe Bürünmeye Dikkat Edin" başlıklı bir makalede önerilerde bulunmuştu. Ek olarak, meşru bir airdrop duyurulduktan sonra, bilgisayar korsanları, resmi hesaplara benzeyen sahte hesaplar kullanarak kimlik avı bağlantıları yayınlayarak hızlı bir şekilde yanıt verir. Birçok kullanıcı, kimlik avı sitelerinde kötü amaçlı uygulamalar yüklemesi veya işlemleri imzalaması için kandırıldı.
- Sosyal Mühendislik Saldırıları: Bazı durumlarda dolandırıcılar, Web3 proje gruplarına sızar, belirli kullanıcıları hedef alır ve onları aldatmak için sosyal mühendislik teknikleri kullanır. Destek personeli veya yardımcı topluluk üyeleri gibi rol yapabilirler ve kullanıcılara bir airdrop talebinin nasıl yapıldığı konusunda rehberlik etmek için yardım teklif edebilirler, ancak aslında varlıklarını çalmak amacındadırlar. Kullanıcılar dikkatli olmalı ve resmi temsilciler olduklarını iddia eden kişilerden gelen yardım tekliflerine güvenmemelidir.
"Ücretsiz" Airdrop Jetonları
Çoğu airdrop, kullanıcıların görevleri tamamlamasını gerektirse de, tokenlerin sizin tarafınızdan herhangi bir işlem yapılmadan cüzdanınızda göründüğü durumlar vardır. Bilgisayar korsanları genellikle değersiz tokenleri cüzdanınıza airdrop olarak gönderir ve bunları merkezi olmayan bir borsaya aktararak, görüntüleyerek veya takas etmeye çalışarak onlarla etkileşime gireceğinizi umarlar. Ancak, bu Dolandırıcılık NFT'leriyle etkileşime girmeye çalışırken, "öğenizin kilidini açmak" için bir web sitesini ziyaret etmenizi isteyen bir hata mesajıyla karşılaşabilirsiniz. Bu, bir kimlik avı sitesine yönlendiren bir tuzaktır.
Bir kullanıcı, Dolandırıcılık NFT'si tarafından bağlantı verilen bir dolandırıcılık web sitesini ziyaret ederse, hacker aşağıdaki işlemleri gerçekleştirebilir:
Değerli NFT'lerin "maliyetsiz satın alımını" gerçekleştirin ("maliyetsiz satın alım" NFT dolandırıcılık analizine bakınız).
Yetkilendirme veya İzin imzaları aracılığıyla yüksek değerli jetonları çalmak.
Yerel varlıkları alın.
Sonraki olarak, hackerların dikkatlice tasarlanmış kötü amaçlı bir sözleşme aracılığıyla kullanıcıların gaz ücretlerini nasıl çalabileceğini inceleyelim.
Öncelikle, hacker Binance Akıllı Zincir (BSC) üzerinde (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) adlı kötü niyetli bir sözleşme oluşturdu ve kullanıcıları jetonları havalandırarak etkileşime girmeye yönlendirdi.
Kullanıcılar bu kötü niyetli sözleşmeyle etkileşime geçtiğinde, cüzdanlarındaki jetonların sözleşmenin kullanımını onaylamaları istenir. Kullanıcı bu isteği onaylarsa, kötü niyetli sözleşme otomatik olarak kullanıcının cüzdan bakiyesine dayanarak gaz limitini artırır, bu da sonraki işlemlerde daha yüksek gaz tüketimine neden olur.
Kullanıcının sağladığı yüksek gaz limitini kullanarak, kötü niyetli sözleşme fazla gazı kullanarak CHI jetonları (CHI jetonları gaz tazminatı için kullanılabilir) çıkartır. Büyük miktarda CHI jetonu biriktirdikten sonra, hacker bu jetonları yakarak sözleşme yok edildiğinde bir gaz iadesi alabilir.
https://x.com/SlowMist_Team/status/1640614440294035456
Bu yöntemle, hacker kullanıcının gaz ücretlerinden akıllıca kar elde ederken, kullanıcı ekstra gaz ücreti ödediğinin farkında olmayabilir. Kullanıcı başlangıçta airdrop edilen jetonları satmaktan kar etmeyi beklerken, aslında yerel varlıklarını kaybetmiş olur.
Arka Kapı Araçları
https://x.com/evilcos/status/1593525621992599552
Airdrop talepleri sürecinde, bazı kullanıcılar çeviri veya jetonların nadirliğini kontrol etme gibi görevler için eklentiler indirmeleri gerekebilir. Ancak, bu eklentilerin güvenliği sorgulanabilir ve bazı kullanıcılar bunları resmi kaynaklardan indirmeyebilir, bu da eklentilerin arka kapıları olan şüpheli eklentileri indirme riskini önemli ölçüde artırır.
Ayrıca, verimli bir şekilde toplu etkileşimleri otomatikleştirdiğini iddia eden hava damlası talepleri için komut dosyaları satan çevrimiçi hizmetler fark ettik. Bununla birlikte, doğrulanmamış ve gözden geçirilmemiş komut dosyalarını indirip çalıştırmanın son derece riskli olduğunu unutmayın, çünkü komut dosyasının kaynağı veya gerçek işlevleri hakkında kesin bir şekilde emin olamazsınız. Bu komut dosyaları kötü amaçlı kod içerebilir ve özel anahtarları veya tohum ifadelerini çalma veya diğer yetkisiz işlemleri gerçekleştirme gibi potansiyel tehditler oluşturabilir. Dahası, bu tür riskli operasyonlara giren bazı kullanıcılar antivirüs yazılımı yüklü değildir veya devre dışı bırakılmıştır, bu da cihazlarının kötü amaçlı yazılımlar tarafından etkilenip etkilenmediğini tespit etmelerini engelleyebilir ve daha fazla zarara yol açabilir.
Sonuç
Bu kılavuzda, ortak dolandırıcılık taktiklerini analiz ederek airdrop talepleriyle ilişkili çeşitli riskleri vurguladık. Airdrop'lar popüler bir pazarlama stratejisidir, ancak kullanıcılar aşağıdaki önlemleri alarak süreç sırasında varlık kaybı riskini azaltabilirler.
Dikkatlice Doğrulayın: Airdrop web sitelerini ziyaret ederken her zaman URL'leri çift kontrol edin. Resmi hesaplar veya duyurular aracılığıyla onaylayın ve Scam Sniffer gibi phishing risk tespit eklentileri yüklemeyi düşünün.
SegreGated Cüzdanları Kullanın: Airdroplar için kullanılan cüzdanlarda sadece küçük miktarlarda fon tutun, daha büyük miktarları soğuk cüzdanlarda saklayın.
Bilinmeyen Airdroplar Konusunda Dikkatli Olun: Bilinmeyen kaynaklardan gelen airdrop jetonları ile etkileşime girmeyin veya onaylamayın.
Gaz Limitlerini Kontrol Edin: Özellikle olağandışı yüksek görünüyorsa, bir işlemi onaylamadan önce her zaman gaz limitini kontrol edin.
Güvenilir Antivirüs Yazılımı Kullanın: Gerçek zamanlı korumayı etkin tutun ve antivirüs yazılımınızı düzenli olarak güncelleyerek en son tehditlerin engellendiğinden emin olun.
Dikkat:
- Bu makale şuradan alıntılanmıştır [SunSec], Tüm telif hakları orijinal yazarına aittir [SlowMist]. If there are objections to this reprint, please contact the Gate Öğreninekip, ve hızlı bir şekilde ele alacaklar.
- Sorumluluk Feragatnamesi: Bu makalede yer alan görüşler yalnızca yazarına aittir ve herhangi bir yatırım tavsiyesi teşkil etmez.
- Makalelerin diğer dillere çevirileri, Gate Learn ekibi tarafından yapılır. Belirtilmedikçe, çevrilen makalelerin kopyalanması, dağıtılması veya kopyalanması yasaktır.
İlgili makaleler
Gate.io Ödünç Ver ve Kazan Nedir ve Nasıl Çalışır?
Tronscan Nedir ve Nasıl Kullanabilirsiniz?