У нашому попередньому посібнику з безпеки Web3 ми розглянули тему фішингу з використанням мультипідписів, обговорюючимеханіка мультипідписних гаманців, як зловмисники їх використовують, і як захистити свій гаманець від злоякісних підписів. У цій частині ми докладно розглянемо широко використовувану маркетингову тактику як у традиційних, так і в криптовалютних галузях — аірдропи.
Аірдропи можуть швидко вивести проєкт із невідомості в центр уваги, допомагаючи йому швидко створити базу користувачів і підвищити видимість ринку. Як правило, користувачі беруть участь у проєктах Web3, переходячи за посиланнями та взаємодіючи з проєктом, щоб отримати токени airdrop. Однак, від підроблених веб-сайтів до інструментів, пронизаних бекдорами, хакери встановлюють пастки протягом усього процесу аірдропу. У цьому посібнику ми проаналізуємо поширені шахрайства, пов'язані з аірдропом, щоб допомогти вам уникнути цих пасток.
Airdrop відбувається, коли проект Web3 розповсюджує безкоштовні токени на конкретні адреси гаманців, щоб збільшити його видимість та залучити ранніх користувачів. Це один з найпряміших методів для проектів залучення користувачів. Airdrops, як правило, можуть бути класифіковані в наступні типи на основі того, як вони претендують на право отримання:
Завдання на основі: виконання завдань, визначених проектом, таких як спільний доступ до контенту або вподобання публікацій.
На основі взаємодії: виконання таких дій, як обмін токенами, надсилання/отримання токенів або крос-чейн операції.
Заснована на утриманні: утримання вказаних токенів проекту для отримання аірдропу.
На основі стейкінгу: Заробіток токенів, що дропнули, за допомогою стейкінгу одного або двох активів, забезпечення ліквідності або довгострокового блокування токенів.
Ці види шахрайства можна розділити на кілька типів:
Токени “Free” Airdrop
Хоча більшість аірдропів вимагають від користувачів виконання завдань, бувають випадки, коли токени з'являються у вашому гаманці без будь-яких дій з вашого боку. Хакери часто скидають нікчемні токени на ваш гаманець, сподіваючись, що ви будете взаємодіяти з ними, переводячи, переглядаючи або намагаючись торгувати ними на децентралізованій біржі. Однак, намагаючись взаємодіяти з цими шахрайськими NFT, ви можете зіткнутися з повідомленням про помилку, яке спонукає вас відвідати веб-сайт, щоб "розблокувати свій предмет". Це пастка, яка веде на фішинговий сайт.
Якщо користувач відвідує сайт-підлогу, на який посилається шахраїнський NFT, хакер може виконати наступні дії:
Здійснюйте «покупку без витрат» цінних NFT (див. аналіз шахрайства з нульовими витратами на покупку NFT).
Викрадіть високоцінні токени через схвалення авторизації або дозволіть підписи.
Забрати місцеві активи.
Далі давайте розглянемо, як хакери можуть вкрасти плату за газ у користувачів через добре продуманий зловмисний контракт.
Спочатку хакер створив зловісний контракт під назвою GPT на Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) та змусив користувачів взаємодіяти з ним, роздаючи токени.
Коли користувачі взаємодіють з цим зловмисним контрактом, їх просить затвердити використання токенів контрактом у їх гаманці. Якщо користувач затвердить цей запит, зловмисний контракт автоматично збільшує газовий ліміт на основі балансу гаманця користувача, що призводить до вищого споживання газу в наступних операціях.
Використовуючи високий ліміт газу, наданий користувачем, зловмисний контракт використовує надлишковий газ для виготовлення токенів CHI (токени CHI можуть бути використані для компенсації газу). Накопичивши велику кількість токенів CHI, хакер може спалити ці токени, щоб отримати повернення газу, коли контракт буде знищений.
https://x.com/SlowMist_Team/status/1640614440294035456
Через цей метод хакер розумно заробляє на комісії за газ користувача, тоді як користувач може не підозрювати, що він заплатив додаткові комісії за газ. Користувач спочатку очікував заробити на продажу розподілених токенів, але в результаті втратив свої основні активи.
https://x.com/evilcos/status/1593525621992599552
Під час процесу отримання аірдропів деяким користувачам потрібно завантажувати плагіни для завдань, таких як переклад або перевірка рідкісності токенів. Однак безпека цих плагінів сумнівна, і деякі користувачі не завантажують їх з офіційних джерел, значно збільшуючи ризик завантаження плагінів з задніми дверима.
Крім того, ми помітили онлайн-сервіси, які продають скрипти для отримання аірдропів, претендуючи на автоматизацію ефективних пакетних взаємодій. Однак будь ласка, будьте уважними, завантажуючи й запускаючи неперевірені та непереглянуті скрипти, оскільки ви не можете бути впевнені в джерелі скрипта або його фактичних функціях. Ці скрипти можуть містити зловмисний код, що створює потенційні загрози, такі як крадіжка приватних ключів або насінні фрази, або здійснення інших несанкціонованих дій. Більше того, деякі користувачі, займаючись цими типами ризикованих операцій, або не мають встановленого антивірусного програмного забезпечення, або мають його вимкненим, що може завадити виявленню, якщо їх пристрій був компрометований шкідливим ПЗ, призводячи до подальших пошкоджень.
У цьому посібнику ми висвітлили різні ризики, пов'язані з отриманням аірдропів, аналізуючи поширені шахрайські тактики. Аірдропи є популярною маркетинговою стратегією, але користувачі можуть зменшити ризик втрати активів під час процесу, дотримуючись наступних заходів безпеки:
Перевіряйте ретельно: завжди перевіряйте URL-адреси при відвідуванні веб-сайтів аірдропів. Підтвердіть їх через офіційні акаунти або оголошення і розгляньте можливість встановлення плагінів виявлення ризику фішингу, таких як Scam Sniffer.
Використовуйте відокремлені гаманці: Зберігайте лише невеликі суми коштів на гаманцях, які використовуються для аірдропів, зберігаючи більші суми в холодному гаманці.
Будьте обережні з невідомими аірдропами: не взаємодійте або підтверджуйте транзакції, пов'язані з токенами аірдропу від невідомих джерел.
Перевірте обмеження газу: завжди переглядайте обмеження газу перед підтвердженням транзакції, особливо якщо воно здається надзвичайно високим.
Використовуйте надійне антивірусне програмне забезпечення: Залишайте включено захист в режимі реального часу та регулярно оновлюйте своє антивірусне програмне забезпечення, щоб забезпечити блокування останніх загроз.
У нашому попередньому посібнику з безпеки Web3 ми розглянули тему фішингу з використанням мультипідписів, обговорюючимеханіка мультипідписних гаманців, як зловмисники їх використовують, і як захистити свій гаманець від злоякісних підписів. У цій частині ми докладно розглянемо широко використовувану маркетингову тактику як у традиційних, так і в криптовалютних галузях — аірдропи.
Аірдропи можуть швидко вивести проєкт із невідомості в центр уваги, допомагаючи йому швидко створити базу користувачів і підвищити видимість ринку. Як правило, користувачі беруть участь у проєктах Web3, переходячи за посиланнями та взаємодіючи з проєктом, щоб отримати токени airdrop. Однак, від підроблених веб-сайтів до інструментів, пронизаних бекдорами, хакери встановлюють пастки протягом усього процесу аірдропу. У цьому посібнику ми проаналізуємо поширені шахрайства, пов'язані з аірдропом, щоб допомогти вам уникнути цих пасток.
Airdrop відбувається, коли проект Web3 розповсюджує безкоштовні токени на конкретні адреси гаманців, щоб збільшити його видимість та залучити ранніх користувачів. Це один з найпряміших методів для проектів залучення користувачів. Airdrops, як правило, можуть бути класифіковані в наступні типи на основі того, як вони претендують на право отримання:
Завдання на основі: виконання завдань, визначених проектом, таких як спільний доступ до контенту або вподобання публікацій.
На основі взаємодії: виконання таких дій, як обмін токенами, надсилання/отримання токенів або крос-чейн операції.
Заснована на утриманні: утримання вказаних токенів проекту для отримання аірдропу.
На основі стейкінгу: Заробіток токенів, що дропнули, за допомогою стейкінгу одного або двох активів, забезпечення ліквідності або довгострокового блокування токенів.
Ці види шахрайства можна розділити на кілька типів:
Токени “Free” Airdrop
Хоча більшість аірдропів вимагають від користувачів виконання завдань, бувають випадки, коли токени з'являються у вашому гаманці без будь-яких дій з вашого боку. Хакери часто скидають нікчемні токени на ваш гаманець, сподіваючись, що ви будете взаємодіяти з ними, переводячи, переглядаючи або намагаючись торгувати ними на децентралізованій біржі. Однак, намагаючись взаємодіяти з цими шахрайськими NFT, ви можете зіткнутися з повідомленням про помилку, яке спонукає вас відвідати веб-сайт, щоб "розблокувати свій предмет". Це пастка, яка веде на фішинговий сайт.
Якщо користувач відвідує сайт-підлогу, на який посилається шахраїнський NFT, хакер може виконати наступні дії:
Здійснюйте «покупку без витрат» цінних NFT (див. аналіз шахрайства з нульовими витратами на покупку NFT).
Викрадіть високоцінні токени через схвалення авторизації або дозволіть підписи.
Забрати місцеві активи.
Далі давайте розглянемо, як хакери можуть вкрасти плату за газ у користувачів через добре продуманий зловмисний контракт.
Спочатку хакер створив зловісний контракт під назвою GPT на Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) та змусив користувачів взаємодіяти з ним, роздаючи токени.
Коли користувачі взаємодіють з цим зловмисним контрактом, їх просить затвердити використання токенів контрактом у їх гаманці. Якщо користувач затвердить цей запит, зловмисний контракт автоматично збільшує газовий ліміт на основі балансу гаманця користувача, що призводить до вищого споживання газу в наступних операціях.
Використовуючи високий ліміт газу, наданий користувачем, зловмисний контракт використовує надлишковий газ для виготовлення токенів CHI (токени CHI можуть бути використані для компенсації газу). Накопичивши велику кількість токенів CHI, хакер може спалити ці токени, щоб отримати повернення газу, коли контракт буде знищений.
https://x.com/SlowMist_Team/status/1640614440294035456
Через цей метод хакер розумно заробляє на комісії за газ користувача, тоді як користувач може не підозрювати, що він заплатив додаткові комісії за газ. Користувач спочатку очікував заробити на продажу розподілених токенів, але в результаті втратив свої основні активи.
https://x.com/evilcos/status/1593525621992599552
Під час процесу отримання аірдропів деяким користувачам потрібно завантажувати плагіни для завдань, таких як переклад або перевірка рідкісності токенів. Однак безпека цих плагінів сумнівна, і деякі користувачі не завантажують їх з офіційних джерел, значно збільшуючи ризик завантаження плагінів з задніми дверима.
Крім того, ми помітили онлайн-сервіси, які продають скрипти для отримання аірдропів, претендуючи на автоматизацію ефективних пакетних взаємодій. Однак будь ласка, будьте уважними, завантажуючи й запускаючи неперевірені та непереглянуті скрипти, оскільки ви не можете бути впевнені в джерелі скрипта або його фактичних функціях. Ці скрипти можуть містити зловмисний код, що створює потенційні загрози, такі як крадіжка приватних ключів або насінні фрази, або здійснення інших несанкціонованих дій. Більше того, деякі користувачі, займаючись цими типами ризикованих операцій, або не мають встановленого антивірусного програмного забезпечення, або мають його вимкненим, що може завадити виявленню, якщо їх пристрій був компрометований шкідливим ПЗ, призводячи до подальших пошкоджень.
У цьому посібнику ми висвітлили різні ризики, пов'язані з отриманням аірдропів, аналізуючи поширені шахрайські тактики. Аірдропи є популярною маркетинговою стратегією, але користувачі можуть зменшити ризик втрати активів під час процесу, дотримуючись наступних заходів безпеки:
Перевіряйте ретельно: завжди перевіряйте URL-адреси при відвідуванні веб-сайтів аірдропів. Підтвердіть їх через офіційні акаунти або оголошення і розгляньте можливість встановлення плагінів виявлення ризику фішингу, таких як Scam Sniffer.
Використовуйте відокремлені гаманці: Зберігайте лише невеликі суми коштів на гаманцях, які використовуються для аірдропів, зберігаючи більші суми в холодному гаманці.
Будьте обережні з невідомими аірдропами: не взаємодійте або підтверджуйте транзакції, пов'язані з токенами аірдропу від невідомих джерел.
Перевірте обмеження газу: завжди переглядайте обмеження газу перед підтвердженням транзакції, особливо якщо воно здається надзвичайно високим.
Використовуйте надійне антивірусне програмне забезпечення: Залишайте включено захист в режимі реального часу та регулярно оновлюйте своє антивірусне програмне забезпечення, щоб забезпечити блокування останніх загроз.