Посібник для початківців з безпеки Web3: Як уникнути шахрайства з Аірдропом

Початківець9/15/2024, 6:25:09 PM
Аірдропи можуть швидко прискорити розвиток проекту від невідомості до центру уваги, допомагаючи швидко побудувати базу користувачів та покращити видимість на ринку. Однак, від підроблених веб-сайтів до інструментів з вбудованими задніми дверима, хакери розставили пастки на всій довкола аірдроп-процесу. Цей посібник проаналізує поширені шахрайські аірдропи, щоб допомогти вам уникнути цих пасток.

Фон

У нашому попередньому посібнику з безпеки Web3 ми розглянули тему фішингу з використанням мультипідписів, обговорюючимеханіка мультипідписних гаманців, як зловмисники їх використовують, і як захистити свій гаманець від злоякісних підписів. У цій частині ми докладно розглянемо широко використовувану маркетингову тактику як у традиційних, так і в криптовалютних галузях — аірдропи.

Аірдропи можуть швидко вивести проєкт із невідомості в центр уваги, допомагаючи йому швидко створити базу користувачів і підвищити видимість ринку. Як правило, користувачі беруть участь у проєктах Web3, переходячи за посиланнями та взаємодіючи з проєктом, щоб отримати токени airdrop. Однак, від підроблених веб-сайтів до інструментів, пронизаних бекдорами, хакери встановлюють пастки протягом усього процесу аірдропу. У цьому посібнику ми проаналізуємо поширені шахрайства, пов'язані з аірдропом, щоб допомогти вам уникнути цих пасток.

Що таке Аірдроп?

Airdrop відбувається, коли проект Web3 розповсюджує безкоштовні токени на конкретні адреси гаманців, щоб збільшити його видимість та залучити ранніх користувачів. Це один з найпряміших методів для проектів залучення користувачів. Airdrops, як правило, можуть бути класифіковані в наступні типи на основі того, як вони претендують на право отримання:

  • Завдання на основі: виконання завдань, визначених проектом, таких як спільний доступ до контенту або вподобання публікацій.

  • На основі взаємодії: виконання таких дій, як обмін токенами, надсилання/отримання токенів або крос-чейн операції.

  • Заснована на утриманні: утримання вказаних токенів проекту для отримання аірдропу.

  • На основі стейкінгу: Заробіток токенів, що дропнули, за допомогою стейкінгу одного або двох активів, забезпечення ліквідності або довгострокового блокування токенів.

Ризики при отриманні Аірдропів

Шахрайські афери з фейковим Аірдропом

Ці види шахрайства можна розділити на кілька типів:

  1. Викрадені офіційні облікові записи: Хакери можуть отримати контроль над офіційним обліковим записом проєкту та публікувати фальшиві оголошення про аірдропи. Наприклад, на новинних платформах часто можна побачити сповіщення на кшталт «Обліковий запис X або Discord Project Y зламано; Не переходьте за фішинговими посиланнями, якими поділився хакер». Згідно з нашим звітом про безпеку блокчейну та боротьбу з відмиванням грошей за 2024 рік, лише за першу половину 2024 року було зафіксовано 27 таких інцидентів. Користувачі, довіряючи офіційному обліковому запису, можуть перейти за цими посиланнями та бути перенаправленими на фішингові сайти, замасковані під аірдроп-сторінки. Якщо вони введуть свої приватні ключі, початкові фрази або нададуть дозволи, хакери можуть викрасти їхні активи.

  1. Підробка в розділах коментарів: Хакери часто створюють фальшиві облікові записи проекту і публікують у коментарях до соціальних медіа-каналів реального проекту, заявляючи про надання аірдропів. Користувачі, які не обережні, можуть перейти за цими посиланнями на фішингові сайти. Наприклад, команда SlowMist раніше аналізувала такі тактики та наводила рекомендації у статті під назвою «Увага до підробки в розділах коментарів». Крім того, після оголошення про легітимний аірдроп, хакери швидко реагують, публікуючи фішингові посилання за допомогою фальшивих облікових записів, що нагадують офіційні. Багато користувачів були обмануті, встановивши шкідливі додатки або підписавши транзакції на фішингових сайтах.

  1. Атаки соціальної інженерії: У деяких випадках шахраї проникають в групи проектів Web3, націлюються на конкретних користувачів і використовують техніки соціальної інженерії, щоб обманути їх. Вони можуть виступати в ролі служби підтримки або допоміжних членів спільноти, пропонуючи керівництво користувачам у процесі отримання аірдропу, але насправді викрадають їх активи. Користувачам слід бути пильними і не довіряти непроханим пропозиціям допомоги від осіб, які стверджують, що є офіційними представниками.

Токени “Free” Airdrop

Хоча більшість аірдропів вимагають від користувачів виконання завдань, бувають випадки, коли токени з'являються у вашому гаманці без будь-яких дій з вашого боку. Хакери часто скидають нікчемні токени на ваш гаманець, сподіваючись, що ви будете взаємодіяти з ними, переводячи, переглядаючи або намагаючись торгувати ними на децентралізованій біржі. Однак, намагаючись взаємодіяти з цими шахрайськими NFT, ви можете зіткнутися з повідомленням про помилку, яке спонукає вас відвідати веб-сайт, щоб "розблокувати свій предмет". Це пастка, яка веде на фішинговий сайт.

Якщо користувач відвідує сайт-підлогу, на який посилається шахраїнський NFT, хакер може виконати наступні дії:

  • Здійснюйте «покупку без витрат» цінних NFT (див. аналіз шахрайства з нульовими витратами на покупку NFT).

  • Викрадіть високоцінні токени через схвалення авторизації або дозволіть підписи.

  • Забрати місцеві активи.

Далі давайте розглянемо, як хакери можуть вкрасти плату за газ у користувачів через добре продуманий зловмисний контракт.

Спочатку хакер створив зловісний контракт під назвою GPT на Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) та змусив користувачів взаємодіяти з ним, роздаючи токени.

Коли користувачі взаємодіють з цим зловмисним контрактом, їх просить затвердити використання токенів контрактом у їх гаманці. Якщо користувач затвердить цей запит, зловмисний контракт автоматично збільшує газовий ліміт на основі балансу гаманця користувача, що призводить до вищого споживання газу в наступних операціях.

Використовуючи високий ліміт газу, наданий користувачем, зловмисний контракт використовує надлишковий газ для виготовлення токенів CHI (токени CHI можуть бути використані для компенсації газу). Накопичивши велику кількість токенів CHI, хакер може спалити ці токени, щоб отримати повернення газу, коли контракт буде знищений.

https://x.com/SlowMist_Team/status/1640614440294035456

Через цей метод хакер розумно заробляє на комісії за газ користувача, тоді як користувач може не підозрювати, що він заплатив додаткові комісії за газ. Користувач спочатку очікував заробити на продажу розподілених токенів, але в результаті втратив свої основні активи.

Інструменти для вторгнення

https://x.com/evilcos/status/1593525621992599552

Під час процесу отримання аірдропів деяким користувачам потрібно завантажувати плагіни для завдань, таких як переклад або перевірка рідкісності токенів. Однак безпека цих плагінів сумнівна, і деякі користувачі не завантажують їх з офіційних джерел, значно збільшуючи ризик завантаження плагінів з задніми дверима.

Крім того, ми помітили онлайн-сервіси, які продають скрипти для отримання аірдропів, претендуючи на автоматизацію ефективних пакетних взаємодій. Однак будь ласка, будьте уважними, завантажуючи й запускаючи неперевірені та непереглянуті скрипти, оскільки ви не можете бути впевнені в джерелі скрипта або його фактичних функціях. Ці скрипти можуть містити зловмисний код, що створює потенційні загрози, такі як крадіжка приватних ключів або насінні фрази, або здійснення інших несанкціонованих дій. Більше того, деякі користувачі, займаючись цими типами ризикованих операцій, або не мають встановленого антивірусного програмного забезпечення, або мають його вимкненим, що може завадити виявленню, якщо їх пристрій був компрометований шкідливим ПЗ, призводячи до подальших пошкоджень.

Висновок

У цьому посібнику ми висвітлили різні ризики, пов'язані з отриманням аірдропів, аналізуючи поширені шахрайські тактики. Аірдропи є популярною маркетинговою стратегією, але користувачі можуть зменшити ризик втрати активів під час процесу, дотримуючись наступних заходів безпеки:

  • Перевіряйте ретельно: завжди перевіряйте URL-адреси при відвідуванні веб-сайтів аірдропів. Підтвердіть їх через офіційні акаунти або оголошення і розгляньте можливість встановлення плагінів виявлення ризику фішингу, таких як Scam Sniffer.

  • Використовуйте відокремлені гаманці: Зберігайте лише невеликі суми коштів на гаманцях, які використовуються для аірдропів, зберігаючи більші суми в холодному гаманці.

  • Будьте обережні з невідомими аірдропами: не взаємодійте або підтверджуйте транзакції, пов'язані з токенами аірдропу від невідомих джерел.

  • Перевірте обмеження газу: завжди переглядайте обмеження газу перед підтвердженням транзакції, особливо якщо воно здається надзвичайно високим.

  • Використовуйте надійне антивірусне програмне забезпечення: Залишайте включено захист в режимі реального часу та регулярно оновлюйте своє антивірусне програмне забезпечення, щоб забезпечити блокування останніх загроз.

Disclaimer:

  1. Цю статтю перепринтовано з [SunSec], Усі авторські права належать оригінальному автору [SlowMist]. Якщо є заперечення щодо цього перевидання, будь ласка, зв'яжіться з Gate Learnкоманда, і вони оперативно вирішать це.
  2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, належать виключно автору й не становлять жодної інвестиційної поради.
  3. Переклади статті на інші мови виконуються командою Gate Learn. Якщо не зазначено, копіювання, поширення або плагіат перекладених статей заборонено.

Посібник для початківців з безпеки Web3: Як уникнути шахрайства з Аірдропом

Початківець9/15/2024, 6:25:09 PM
Аірдропи можуть швидко прискорити розвиток проекту від невідомості до центру уваги, допомагаючи швидко побудувати базу користувачів та покращити видимість на ринку. Однак, від підроблених веб-сайтів до інструментів з вбудованими задніми дверима, хакери розставили пастки на всій довкола аірдроп-процесу. Цей посібник проаналізує поширені шахрайські аірдропи, щоб допомогти вам уникнути цих пасток.

Фон

У нашому попередньому посібнику з безпеки Web3 ми розглянули тему фішингу з використанням мультипідписів, обговорюючимеханіка мультипідписних гаманців, як зловмисники їх використовують, і як захистити свій гаманець від злоякісних підписів. У цій частині ми докладно розглянемо широко використовувану маркетингову тактику як у традиційних, так і в криптовалютних галузях — аірдропи.

Аірдропи можуть швидко вивести проєкт із невідомості в центр уваги, допомагаючи йому швидко створити базу користувачів і підвищити видимість ринку. Як правило, користувачі беруть участь у проєктах Web3, переходячи за посиланнями та взаємодіючи з проєктом, щоб отримати токени airdrop. Однак, від підроблених веб-сайтів до інструментів, пронизаних бекдорами, хакери встановлюють пастки протягом усього процесу аірдропу. У цьому посібнику ми проаналізуємо поширені шахрайства, пов'язані з аірдропом, щоб допомогти вам уникнути цих пасток.

Що таке Аірдроп?

Airdrop відбувається, коли проект Web3 розповсюджує безкоштовні токени на конкретні адреси гаманців, щоб збільшити його видимість та залучити ранніх користувачів. Це один з найпряміших методів для проектів залучення користувачів. Airdrops, як правило, можуть бути класифіковані в наступні типи на основі того, як вони претендують на право отримання:

  • Завдання на основі: виконання завдань, визначених проектом, таких як спільний доступ до контенту або вподобання публікацій.

  • На основі взаємодії: виконання таких дій, як обмін токенами, надсилання/отримання токенів або крос-чейн операції.

  • Заснована на утриманні: утримання вказаних токенів проекту для отримання аірдропу.

  • На основі стейкінгу: Заробіток токенів, що дропнули, за допомогою стейкінгу одного або двох активів, забезпечення ліквідності або довгострокового блокування токенів.

Ризики при отриманні Аірдропів

Шахрайські афери з фейковим Аірдропом

Ці види шахрайства можна розділити на кілька типів:

  1. Викрадені офіційні облікові записи: Хакери можуть отримати контроль над офіційним обліковим записом проєкту та публікувати фальшиві оголошення про аірдропи. Наприклад, на новинних платформах часто можна побачити сповіщення на кшталт «Обліковий запис X або Discord Project Y зламано; Не переходьте за фішинговими посиланнями, якими поділився хакер». Згідно з нашим звітом про безпеку блокчейну та боротьбу з відмиванням грошей за 2024 рік, лише за першу половину 2024 року було зафіксовано 27 таких інцидентів. Користувачі, довіряючи офіційному обліковому запису, можуть перейти за цими посиланнями та бути перенаправленими на фішингові сайти, замасковані під аірдроп-сторінки. Якщо вони введуть свої приватні ключі, початкові фрази або нададуть дозволи, хакери можуть викрасти їхні активи.

  1. Підробка в розділах коментарів: Хакери часто створюють фальшиві облікові записи проекту і публікують у коментарях до соціальних медіа-каналів реального проекту, заявляючи про надання аірдропів. Користувачі, які не обережні, можуть перейти за цими посиланнями на фішингові сайти. Наприклад, команда SlowMist раніше аналізувала такі тактики та наводила рекомендації у статті під назвою «Увага до підробки в розділах коментарів». Крім того, після оголошення про легітимний аірдроп, хакери швидко реагують, публікуючи фішингові посилання за допомогою фальшивих облікових записів, що нагадують офіційні. Багато користувачів були обмануті, встановивши шкідливі додатки або підписавши транзакції на фішингових сайтах.

  1. Атаки соціальної інженерії: У деяких випадках шахраї проникають в групи проектів Web3, націлюються на конкретних користувачів і використовують техніки соціальної інженерії, щоб обманути їх. Вони можуть виступати в ролі служби підтримки або допоміжних членів спільноти, пропонуючи керівництво користувачам у процесі отримання аірдропу, але насправді викрадають їх активи. Користувачам слід бути пильними і не довіряти непроханим пропозиціям допомоги від осіб, які стверджують, що є офіційними представниками.

Токени “Free” Airdrop

Хоча більшість аірдропів вимагають від користувачів виконання завдань, бувають випадки, коли токени з'являються у вашому гаманці без будь-яких дій з вашого боку. Хакери часто скидають нікчемні токени на ваш гаманець, сподіваючись, що ви будете взаємодіяти з ними, переводячи, переглядаючи або намагаючись торгувати ними на децентралізованій біржі. Однак, намагаючись взаємодіяти з цими шахрайськими NFT, ви можете зіткнутися з повідомленням про помилку, яке спонукає вас відвідати веб-сайт, щоб "розблокувати свій предмет". Це пастка, яка веде на фішинговий сайт.

Якщо користувач відвідує сайт-підлогу, на який посилається шахраїнський NFT, хакер може виконати наступні дії:

  • Здійснюйте «покупку без витрат» цінних NFT (див. аналіз шахрайства з нульовими витратами на покупку NFT).

  • Викрадіть високоцінні токени через схвалення авторизації або дозволіть підписи.

  • Забрати місцеві активи.

Далі давайте розглянемо, як хакери можуть вкрасти плату за газ у користувачів через добре продуманий зловмисний контракт.

Спочатку хакер створив зловісний контракт під назвою GPT на Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) та змусив користувачів взаємодіяти з ним, роздаючи токени.

Коли користувачі взаємодіють з цим зловмисним контрактом, їх просить затвердити використання токенів контрактом у їх гаманці. Якщо користувач затвердить цей запит, зловмисний контракт автоматично збільшує газовий ліміт на основі балансу гаманця користувача, що призводить до вищого споживання газу в наступних операціях.

Використовуючи високий ліміт газу, наданий користувачем, зловмисний контракт використовує надлишковий газ для виготовлення токенів CHI (токени CHI можуть бути використані для компенсації газу). Накопичивши велику кількість токенів CHI, хакер може спалити ці токени, щоб отримати повернення газу, коли контракт буде знищений.

https://x.com/SlowMist_Team/status/1640614440294035456

Через цей метод хакер розумно заробляє на комісії за газ користувача, тоді як користувач може не підозрювати, що він заплатив додаткові комісії за газ. Користувач спочатку очікував заробити на продажу розподілених токенів, але в результаті втратив свої основні активи.

Інструменти для вторгнення

https://x.com/evilcos/status/1593525621992599552

Під час процесу отримання аірдропів деяким користувачам потрібно завантажувати плагіни для завдань, таких як переклад або перевірка рідкісності токенів. Однак безпека цих плагінів сумнівна, і деякі користувачі не завантажують їх з офіційних джерел, значно збільшуючи ризик завантаження плагінів з задніми дверима.

Крім того, ми помітили онлайн-сервіси, які продають скрипти для отримання аірдропів, претендуючи на автоматизацію ефективних пакетних взаємодій. Однак будь ласка, будьте уважними, завантажуючи й запускаючи неперевірені та непереглянуті скрипти, оскільки ви не можете бути впевнені в джерелі скрипта або його фактичних функціях. Ці скрипти можуть містити зловмисний код, що створює потенційні загрози, такі як крадіжка приватних ключів або насінні фрази, або здійснення інших несанкціонованих дій. Більше того, деякі користувачі, займаючись цими типами ризикованих операцій, або не мають встановленого антивірусного програмного забезпечення, або мають його вимкненим, що може завадити виявленню, якщо їх пристрій був компрометований шкідливим ПЗ, призводячи до подальших пошкоджень.

Висновок

У цьому посібнику ми висвітлили різні ризики, пов'язані з отриманням аірдропів, аналізуючи поширені шахрайські тактики. Аірдропи є популярною маркетинговою стратегією, але користувачі можуть зменшити ризик втрати активів під час процесу, дотримуючись наступних заходів безпеки:

  • Перевіряйте ретельно: завжди перевіряйте URL-адреси при відвідуванні веб-сайтів аірдропів. Підтвердіть їх через офіційні акаунти або оголошення і розгляньте можливість встановлення плагінів виявлення ризику фішингу, таких як Scam Sniffer.

  • Використовуйте відокремлені гаманці: Зберігайте лише невеликі суми коштів на гаманцях, які використовуються для аірдропів, зберігаючи більші суми в холодному гаманці.

  • Будьте обережні з невідомими аірдропами: не взаємодійте або підтверджуйте транзакції, пов'язані з токенами аірдропу від невідомих джерел.

  • Перевірте обмеження газу: завжди переглядайте обмеження газу перед підтвердженням транзакції, особливо якщо воно здається надзвичайно високим.

  • Використовуйте надійне антивірусне програмне забезпечення: Залишайте включено захист в режимі реального часу та регулярно оновлюйте своє антивірусне програмне забезпечення, щоб забезпечити блокування останніх загроз.

Disclaimer:

  1. Цю статтю перепринтовано з [SunSec], Усі авторські права належать оригінальному автору [SlowMist]. Якщо є заперечення щодо цього перевидання, будь ласка, зв'яжіться з Gate Learnкоманда, і вони оперативно вирішать це.
  2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, належать виключно автору й не становлять жодної інвестиційної поради.
  3. Переклади статті на інші мови виконуються командою Gate Learn. Якщо не зазначено, копіювання, поширення або плагіат перекладених статей заборонено.
Şimdi Başlayın
Kaydolun ve
100 USD
değerinde Kupon kazanın!