index
index
Розпочніть тут
Курси
статті
ВсіАльткоїниБіткойнБлокчейнDeFiЕфіріумМетавсесвітNFTТоргівляПідручникФ'ючерсиТоргові ботиBRC-20GameFiDAOМакротенденціїГаманціInscriptionтехнікаМемШІSocialFiDePinСтейблкоінЛіквідний стейкінгФінансиRWAМодульні блокчейниДоказ із нульовим розголошеннямРестейкінгІнструменти для криптовалютАірдропПродукти GateБезпекаАналіз проєктівCryptoPulseДослідженняЕкосистема TONРівень 2SolanaПлатежіМайнінг
Глосарій
Дослідження
Мої обрані
Creator Incentive
Активність
Арена творця
Посол кампусу
Фестиваль творців відео
Щоденний навчальний челендж
Майстер-клас челендж
Увійти
Зареєструватися
Відскануйте QR-код, щоб завантажити мобільний додаток
Виберіть мову та регіон
简体中文EnglishTiếng Việt繁體中文РусскийPortuguês (Portugal)ไทยIndonesia日本語بالعربيةУкраїнськаPortuguês (Brasil)
Колір підйому / падіння
Час початку та закінчення зміни
Learn
Посібник для початківців з безпеки Web3: уникайте шахрайства з аірдропами

Посібник для початківців з безпеки Web3: уникайте шахрайства з аірдропами

Початківець11/18/2024, 5:29:56 AM
При беручи участь у проектах Web3, користувачам часто потрібно натискати посилання та взаємодіяти з командою проекту, щоб отримати токени аірдропу. Однак хакери підготували пастки на кожному кроці цього процесу, від фальшивих веб-сайтів до інструментів з відкритими дверима. У цьому посібнику ми розкажемо вам про поширені обмани з аірдропами та поділимося порадами, як уникнути потрапляння жертвою.
ПідручникАірдропБезпека

Фон

У нас в останньому Посібник для початківців з безпеки Web3, ми зосередилися на фішингових атаках, пов'язаних з мультипідписами, включаючи те, як працюють мультипідписи, що їх викликає і як запобігти використанню вашого гаманця. На цей раз ми розглянемо популярну маркетингову тактику, що використовується як у традиційних галузях, так і в криптовалютному просторі: аірдропи.

Аірдропи - це швидкий спосіб для проектів отримати відомість та швидко побудувати базу користувачів. При участі в проектах Web3 користувачі просять клікнути на посилання та взаємодіяти з командою, щоб отримати токени, але хакери створили пастки на всьому шляху. Від фальшивих веб-сайтів до прихованих зловмисних інструментів, ризики реальні. У цьому посібнику ми розглянемо типові шахрайські схеми аірдропів та допоможемо вам захистити себе.

Що таке Аірдроп?

Airdrop - це, коли проект Web3 розподіляє безкоштовні токени на конкретні адреси гаманців, щоб збільшити видимість та привернути користувачів. Це простий спосіб для проектів здобути прискорення. Airdrop-и можна класифікувати за способом їх отримання:

  • Завдання засновані: Виконайте конкретні завдання, такі як спільний доступ, вподобання або інші дії.
  • Інтерактивний: Виконуйте дії, такі як обмін токенів, відправлення/отримання токенів або здійснення міжланцюжкових операцій.
  • На основі володіння: утримуйте певні токени, щоб бути придатними до аірдропів.
  • Стейкінг-базовий: Стейк токени, надавайте ліквідність або блокуйте активи на певний період, щоб заробити токени airdrop.

Ризики отримання Аірдропів

Фейкові шахрайські аірдропи

Ось деякі поширені види шахрайських афер аірдропу:

  1. Хакери захоплюють офіційний обліковий запис проєкту, щоб публікувати фальшиві оголошення про аірдропи. Ми часто бачимо сповіщення на кшталт «Обліковий запис X або обліковий запис Discord певного проєкту зламано. Будь ласка, не переходьте за фішинговим посиланням, розміщеним хакером». Згідно зі звітом SlowMist за 2024 рік, лише за перше півріччя було зафіксовано 27 випадків злому облікових записів проєктів. Користувачі, довіряючи офіційним акаунтам, переходять за цими посиланнями і потрапляють на фішингові сайти, замасковані під аірдропи. Якщо ви введете свій приватний ключ або початкову фразу або надасте будь-які дозволи на цих сайтах, хакери можуть викрасти ваші активи.

  1. Хакери використовують високоякісні копії облікових записів команди проекту для публікації фальшивих повідомлень у розділі коментарів офіційного облікового запису проекту, збуджуючи користувачів клікнути на фішингові посилання. Команда безпеки SlowMist раніше проаналізувала цей метод і надала контрзаходи (див. Фейкові команди проектів: обережно з фішингом у розділі коментарів імітаційних облікових записів). Крім того, після того, як офіційний проєкт оголошує про аірдроп, хакери швидко відстежують, використовуючи імітаційні облікові записи для публікації багатьох оновлень, що містять фішингові посилання на соціальних платформах. Багато користувачів, не ідентифікуючи підроблені облікові записи, в кінцевому підсумку встановлюють шахрайські програми або відкривають фішингові веб-сайти, де виконують операції авторизації підпису.

(https://x.com/im23pds/status/1765577919819362702)

  1. Третій спосіб шахрайства є ще гіршим і класичним шахрайством. Шахраї та проникають у групи проектів Web3, вибирають цільових користувачів та здійснюють соціально-інженерні атаки. Іноді вони використовують аірдропи як приманку, «вчать» користувачів, як переказувати токени для отримання аірдропів. Користувачам слід залишатись настороженими і не легковажити стосовно кожного, хто зв'язується з ними як «офіційне обслуговування» чи твердить, що «вчить» їх, як працювати. Ці особи, скоріш за все, є шахраями. Ви можете подумати, що просто отримуєте аірдроп, але насправді зазнаєте великих збитків.


«Безкоштовні» токени Airdrop: розуміння ризиків

Аірдропи поширені в криптопросторі, де користувачам зазвичай потрібно виконати певні завдання, щоб заробити безкоштовні токени. Однак існують зловмисники, які використовують ці можливості. Наприклад, хакери можуть передавати в гаманці користувачів токени, які не мають реальної цінності. Потім ці користувачі можуть спробувати взаємодіяти з цими токенами — переказувати їх, перевіряти їхню вартість або навіть торгувати ними на децентралізованих біржах. Але після реверс-інжинірингу шахрайського контракту NFT ми виявили, що спроби передати або проставити NFT зазнають невдачі, і з'являється повідомлення про помилку: «Відвідайте веб-сайт, щоб розблокувати свій предмет», що вводить користувачів в оману, змушуючи відвідати фішинговий сайт.

Якщо користувачі підуть на це й відвідають фішинговий сайт, хакери можуть вчинити кілька шкідливих дій:

  • Масова закупівля цінних NFT за допомогою механізму "нульової вартості" (див. " Фішинг безкоштовних NFT“ для отримання додаткової інформації).
  • Викрадіть дозволи на високоцінні токени або дозволи на підпис.
  • Вкрасти родові активи з гаманця користувача.

Далі давайте подивимося, як хакери використовують уважно створений зловмисний контракт для крадіжки витрат на газ користувачів. Спочатку хакер створює зловмисний контракт під назвою GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) на BSC, використовуючи розрозподілені токени, щоб привернути користувачів до взаємодії з ним. Коли користувачі взаємодіють з цим зловмисним контрактом, з'являється запит на затвердження контракту для використання токенів у гаманці користувача. Якщо користувач затвердить цей запит, зловмисний контракт автоматично збільшує обмеження газу на підставі балансу гаманця користувача, що призводить до того, що подальші транзакції споживають більше витрат на газ.

Використовуючи високий ліміт газу, наданий користувачем, зловмисний контракт використовує додатковий газ для маркування токенів CHI (токени CHI можна використовувати для компенсації газу). Накопичивши велику кількість токенів CHI, хакер може спалити ці токени, щоб отримати компенсацію газу, коли контракт знищується.

(https://x.com/SlowMist_Team/status/1640614440294035456)

Через цей метод хакер розумно заробляє на комісії користувача за газ, і користувач може навіть не усвідомлювати, що він заплатив додаткові комісійні за газ. Спочатку користувач думав, що зможе заробити, продавши аірдропнуті токени, але в результаті йому було вкрадено його власні активи.

Інструменти з вбудованим бекдором

(https://x.com/evilcos/status/1593525621992599552)

Під час вимоги аірдропів деяким користувачам потрібно завантажувати плагіни для перекладу чи запиту рідкісних токенів, серед інших функцій. Безпека цих плагінів під питанням, і деякі користувачі завантажують їх з неофіційних джерел, збільшуючи ризик завантаження плагінів з задніми дверима.

Крім того, ми помітили онлайн-сервіси, які продають сценарії airdrop, які стверджують, що автоматизують масові взаємодії. Хоча це звучить ефективно, користувачам слід бути обережними, оскільки завантаження неперевірених скриптів є надзвичайно ризикованим. Ви не можете бути впевнені в джерелі або реальній функціональності скрипта. Він може містити шкідливий код, потенційно загрожуючи крадіжкою приватних ключів або початкових фраз або іншими несанкціонованими діями. Крім того, деякі користувачі виконують такі ризиковані операції без антивірусного програмного забезпечення, що може призвести до невиявленого зараження троянськими програмами, що призведе до пошкодження їхніх пристроїв.

Опис

Цей посібник головним чином пояснює ризики, пов'язані з отриманням аірдропів шляхом аналізу шахрайств. Багато проектів зараз використовують аірдропи як маркетинговий інструмент. Користувачі можуть вжити наступні заходи для зменшення ризику втрати активів під час отримання аірдропів:

  • Мультиверифікація: Відвідуючи веб-сайт аірдропу, уважно перевіряйте URL-адресу. Підтвердіть його через офіційний обліковий запис проекту або канали анонсів. Ви також можете встановити плагіни для блокування фішингових ризиків (наприклад, Scam Sniffer), щоб допомогти ідентифікувати фішингові веб-сайти.
  • Розділення гаманця: Використовуйте гаманець з невеликими коштами для претензій на аірдропи та зберігайте великі суми на холодному гаманці.
  • Будьте обережні з токенами, які роздаються: Будьте обережні з токенами, які роздаються з невідомих джерел. Уникайте поспішного авторизування або підписання транзакцій.
  • Перевірте ліміти газу: Зверніть увагу на те, чи є ліміти газу для транзакцій надмірно високими.
  • Використовуйте антивірусне програмне забезпечення: Використовуйте відоме антивірусне програмне забезпечення (таке як Kaspersky, AVG тощо) для включення захисту в реальному часі та забезпечення актуальності визначень вірусів.

Відмова від відповідальності:

  1. Ця стаття є перевиданням з SlowMist Технологія, авторське право належить оригінальному автору [SlowMist Security Team]. Якщо є заперечення стосовно цієї перепублікації, будь ласка, зв'яжіться з Gate Learnкоманда і вони оперативно цим займуться.
  2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно думкою автора і не становлять жодної інвестиційної поради.
  3. Команда Gate Learn переклала статтю на інші мови. Копіювання, поширення або плагіатування перекладених статей заборонені, якщо не зазначено інше.

Фон

Що таке Аірдроп?

Ризики отримання Аірдропів

Опис

Посібник для початківців з безпеки Web3: уникайте шахрайства з аірдропами

Початківець11/18/2024, 5:29:56 AM
При беручи участь у проектах Web3, користувачам часто потрібно натискати посилання та взаємодіяти з командою проекту, щоб отримати токени аірдропу. Однак хакери підготували пастки на кожному кроці цього процесу, від фальшивих веб-сайтів до інструментів з відкритими дверима. У цьому посібнику ми розкажемо вам про поширені обмани з аірдропами та поділимося порадами, як уникнути потрапляння жертвою.
ПідручникАірдропБезпека

Фон

Що таке Аірдроп?

Ризики отримання Аірдропів

Опис

Фон

У нас в останньому Посібник для початківців з безпеки Web3, ми зосередилися на фішингових атаках, пов'язаних з мультипідписами, включаючи те, як працюють мультипідписи, що їх викликає і як запобігти використанню вашого гаманця. На цей раз ми розглянемо популярну маркетингову тактику, що використовується як у традиційних галузях, так і в криптовалютному просторі: аірдропи.

Аірдропи - це швидкий спосіб для проектів отримати відомість та швидко побудувати базу користувачів. При участі в проектах Web3 користувачі просять клікнути на посилання та взаємодіяти з командою, щоб отримати токени, але хакери створили пастки на всьому шляху. Від фальшивих веб-сайтів до прихованих зловмисних інструментів, ризики реальні. У цьому посібнику ми розглянемо типові шахрайські схеми аірдропів та допоможемо вам захистити себе.

Що таке Аірдроп?

Airdrop - це, коли проект Web3 розподіляє безкоштовні токени на конкретні адреси гаманців, щоб збільшити видимість та привернути користувачів. Це простий спосіб для проектів здобути прискорення. Airdrop-и можна класифікувати за способом їх отримання:

  • Завдання засновані: Виконайте конкретні завдання, такі як спільний доступ, вподобання або інші дії.
  • Інтерактивний: Виконуйте дії, такі як обмін токенів, відправлення/отримання токенів або здійснення міжланцюжкових операцій.
  • На основі володіння: утримуйте певні токени, щоб бути придатними до аірдропів.
  • Стейкінг-базовий: Стейк токени, надавайте ліквідність або блокуйте активи на певний період, щоб заробити токени airdrop.

Ризики отримання Аірдропів

Фейкові шахрайські аірдропи

Ось деякі поширені види шахрайських афер аірдропу:

  1. Хакери захоплюють офіційний обліковий запис проєкту, щоб публікувати фальшиві оголошення про аірдропи. Ми часто бачимо сповіщення на кшталт «Обліковий запис X або обліковий запис Discord певного проєкту зламано. Будь ласка, не переходьте за фішинговим посиланням, розміщеним хакером». Згідно зі звітом SlowMist за 2024 рік, лише за перше півріччя було зафіксовано 27 випадків злому облікових записів проєктів. Користувачі, довіряючи офіційним акаунтам, переходять за цими посиланнями і потрапляють на фішингові сайти, замасковані під аірдропи. Якщо ви введете свій приватний ключ або початкову фразу або надасте будь-які дозволи на цих сайтах, хакери можуть викрасти ваші активи.

  1. Хакери використовують високоякісні копії облікових записів команди проекту для публікації фальшивих повідомлень у розділі коментарів офіційного облікового запису проекту, збуджуючи користувачів клікнути на фішингові посилання. Команда безпеки SlowMist раніше проаналізувала цей метод і надала контрзаходи (див. Фейкові команди проектів: обережно з фішингом у розділі коментарів імітаційних облікових записів). Крім того, після того, як офіційний проєкт оголошує про аірдроп, хакери швидко відстежують, використовуючи імітаційні облікові записи для публікації багатьох оновлень, що містять фішингові посилання на соціальних платформах. Багато користувачів, не ідентифікуючи підроблені облікові записи, в кінцевому підсумку встановлюють шахрайські програми або відкривають фішингові веб-сайти, де виконують операції авторизації підпису.

(https://x.com/im23pds/status/1765577919819362702)

  1. Третій спосіб шахрайства є ще гіршим і класичним шахрайством. Шахраї та проникають у групи проектів Web3, вибирають цільових користувачів та здійснюють соціально-інженерні атаки. Іноді вони використовують аірдропи як приманку, «вчать» користувачів, як переказувати токени для отримання аірдропів. Користувачам слід залишатись настороженими і не легковажити стосовно кожного, хто зв'язується з ними як «офіційне обслуговування» чи твердить, що «вчить» їх, як працювати. Ці особи, скоріш за все, є шахраями. Ви можете подумати, що просто отримуєте аірдроп, але насправді зазнаєте великих збитків.


«Безкоштовні» токени Airdrop: розуміння ризиків

Аірдропи поширені в криптопросторі, де користувачам зазвичай потрібно виконати певні завдання, щоб заробити безкоштовні токени. Однак існують зловмисники, які використовують ці можливості. Наприклад, хакери можуть передавати в гаманці користувачів токени, які не мають реальної цінності. Потім ці користувачі можуть спробувати взаємодіяти з цими токенами — переказувати їх, перевіряти їхню вартість або навіть торгувати ними на децентралізованих біржах. Але після реверс-інжинірингу шахрайського контракту NFT ми виявили, що спроби передати або проставити NFT зазнають невдачі, і з'являється повідомлення про помилку: «Відвідайте веб-сайт, щоб розблокувати свій предмет», що вводить користувачів в оману, змушуючи відвідати фішинговий сайт.

Якщо користувачі підуть на це й відвідають фішинговий сайт, хакери можуть вчинити кілька шкідливих дій:

  • Масова закупівля цінних NFT за допомогою механізму "нульової вартості" (див. " Фішинг безкоштовних NFT“ для отримання додаткової інформації).
  • Викрадіть дозволи на високоцінні токени або дозволи на підпис.
  • Вкрасти родові активи з гаманця користувача.

Далі давайте подивимося, як хакери використовують уважно створений зловмисний контракт для крадіжки витрат на газ користувачів. Спочатку хакер створює зловмисний контракт під назвою GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) на BSC, використовуючи розрозподілені токени, щоб привернути користувачів до взаємодії з ним. Коли користувачі взаємодіють з цим зловмисним контрактом, з'являється запит на затвердження контракту для використання токенів у гаманці користувача. Якщо користувач затвердить цей запит, зловмисний контракт автоматично збільшує обмеження газу на підставі балансу гаманця користувача, що призводить до того, що подальші транзакції споживають більше витрат на газ.

Використовуючи високий ліміт газу, наданий користувачем, зловмисний контракт використовує додатковий газ для маркування токенів CHI (токени CHI можна використовувати для компенсації газу). Накопичивши велику кількість токенів CHI, хакер може спалити ці токени, щоб отримати компенсацію газу, коли контракт знищується.

(https://x.com/SlowMist_Team/status/1640614440294035456)

Через цей метод хакер розумно заробляє на комісії користувача за газ, і користувач може навіть не усвідомлювати, що він заплатив додаткові комісійні за газ. Спочатку користувач думав, що зможе заробити, продавши аірдропнуті токени, але в результаті йому було вкрадено його власні активи.

Інструменти з вбудованим бекдором

(https://x.com/evilcos/status/1593525621992599552)

Під час вимоги аірдропів деяким користувачам потрібно завантажувати плагіни для перекладу чи запиту рідкісних токенів, серед інших функцій. Безпека цих плагінів під питанням, і деякі користувачі завантажують їх з неофіційних джерел, збільшуючи ризик завантаження плагінів з задніми дверима.

Крім того, ми помітили онлайн-сервіси, які продають сценарії airdrop, які стверджують, що автоматизують масові взаємодії. Хоча це звучить ефективно, користувачам слід бути обережними, оскільки завантаження неперевірених скриптів є надзвичайно ризикованим. Ви не можете бути впевнені в джерелі або реальній функціональності скрипта. Він може містити шкідливий код, потенційно загрожуючи крадіжкою приватних ключів або початкових фраз або іншими несанкціонованими діями. Крім того, деякі користувачі виконують такі ризиковані операції без антивірусного програмного забезпечення, що може призвести до невиявленого зараження троянськими програмами, що призведе до пошкодження їхніх пристроїв.

Опис

Цей посібник головним чином пояснює ризики, пов'язані з отриманням аірдропів шляхом аналізу шахрайств. Багато проектів зараз використовують аірдропи як маркетинговий інструмент. Користувачі можуть вжити наступні заходи для зменшення ризику втрати активів під час отримання аірдропів:

  • Мультиверифікація: Відвідуючи веб-сайт аірдропу, уважно перевіряйте URL-адресу. Підтвердіть його через офіційний обліковий запис проекту або канали анонсів. Ви також можете встановити плагіни для блокування фішингових ризиків (наприклад, Scam Sniffer), щоб допомогти ідентифікувати фішингові веб-сайти.
  • Розділення гаманця: Використовуйте гаманець з невеликими коштами для претензій на аірдропи та зберігайте великі суми на холодному гаманці.
  • Будьте обережні з токенами, які роздаються: Будьте обережні з токенами, які роздаються з невідомих джерел. Уникайте поспішного авторизування або підписання транзакцій.
  • Перевірте ліміти газу: Зверніть увагу на те, чи є ліміти газу для транзакцій надмірно високими.
  • Використовуйте антивірусне програмне забезпечення: Використовуйте відоме антивірусне програмне забезпечення (таке як Kaspersky, AVG тощо) для включення захисту в реальному часі та забезпечення актуальності визначень вірусів.

Відмова від відповідальності:

  1. Ця стаття є перевиданням з SlowMist Технологія, авторське право належить оригінальному автору [SlowMist Security Team]. Якщо є заперечення стосовно цієї перепублікації, будь ласка, зв'яжіться з Gate Learnкоманда і вони оперативно цим займуться.
  2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно думкою автора і не становлять жодної інвестиційної поради.
  3. Команда Gate Learn переклала статтю на інші мови. Копіювання, поширення або плагіатування перекладених статей заборонені, якщо не зазначено інше.
Розпочати зараз
Зареєструйтеся та отримайте ваучер на
$100
!