Посібник з попередження шахрайських схем Аірдропу
Вступ
Аірдропи — популярна маркетингова стратегія у Web3-проєктах. Як правило, токени безкоштовно розповсюджуються на певні адреси гаманців, заохочуючи участь і взаємодію користувачів, а також допомагаючи новим проектам розширювати свою базу користувачів і підвищувати впізнаваність. Однак відкритий характер аірдропів робить їх головною мішенню для хакерів, які влаштовують пастки. Багато користувачів втратили значні суми активів, потрапивши на фішингові атаки.
У останні роки швидкий ріст криптовалютного ринку привернув увагу багатьох інвесторів. Ринкова вартість біткойна досягла сотень мільярдів доларів, а проекти альткоїнов на мільярди стають все поширенішими. Багато користувачів бажають взяти участь у роздачах (airdrops), бо бояться пропустити будь-які інвестиційні можливості, особливо під час коливань на ринку, коли обіцянки високих прибутків стають ще більш привабливими. Шахраї та хакери швидко використовують цю ентузіазм і роздачі (airdrop) стали поширеними шахрайствами.
Ця стаття розгляне поширені обмани аірдропів та надасть практичні поради щодо того, як їх уникнути. Аналізуючи різні шахрайські схеми та пропонуючи профілактичні поради, користувачі можуть стати більш уважними та краще захищати свої активи під час участі в аірдропах.
Що таке Аірдроп?
Визначення Аірдроп
Airdrop - це маркетингова стратегія Web3, при якій проект розподіляє токени безкоштовно до конкретних адрес гаманців, щоб привернути користувачів та збільшити ринкову витривалість.
Цей підхід допомагає розширити користувацьку базу проекту та стимулює участь користувачів в екосистемі проекту, підвищуючи взаємодію та активність. Аірдропи часто поєднуються з рекламними кампаніями, щоб звернути увагу на нові проекти, що робить їх важливим інструментом для підвищення усвідомленості бренду.
Види Аірдропів
Існують різні способи, за допомогою яких користувачі можуть отримувати аірдропи, і вони загалом поділяються на кілька категорій:
Airdrop на основі завдань: користувачам потрібно виконати конкретні завдання, такі як обмін контентом, вподобання публікацій у соціальних мережах або заповнення опитувань. Цей тип аірдропу підвищує залученість користувачів та створює додаткові рекламні переваги для проекту.
Airdrop на основі взаємодії: Користувачі можуть отримати токени, здійснюючи обмін токенами, відправляючи або отримуючи токени або здійснюючи міжланцюжкові операції. Ці аірдропи спрямовані на поглиблення залученості користувачів до проекту і допомогу їм зрозуміти його функції та сервіси.
Airdrop на основі утримання: Деякі проекти винагороджують користувачів, які утримують певні токени, надаючи їм додаткові токени. Це сприяє довгостроковому утриманню токенів проекту та збільшує ринковий попит.
Airdrop на основі стейкінгу: Користувачі отримують токени, роблячи стейкінг або забезпечуючи ліквідність. Ці airdrops сприяють участі в екосистемі проєкту, покращують ліквідність токенів та пропонують користувачам потенційний дохід.
У цілому, аірдропи є гнучкою та різноманітною маркетинговою стратегією. Вони швидко збільшують видимість проєкту та відповідають на різноманітні інтереси користувачів, що робить їх більш схильними до співпраці з екосистемою Web3. Однак користувачам слід бути обережними та усвідомлювати потенційні шахрайства, які можуть загрожувати їх активами.
Що таке шахрайство з випадковим випаданням?
Шахрайська схема розповсюдження безкоштовних токенів, коли шахраї видають себе за організаторів розіграшів токенів або монет, щоб обманом змусити користувачів взаємодіяти з ними. Вони приваблюють користувачів пропозиціями про фіктивні можливості отримання токенів, використовуючи привабливість безкоштовних токенів, щоб зманити недбалу особу підключати свої гаманці до шкідливих веб-сайтів. Після підключення шахраї можуть вкрасти активи або конфіденційну інформацію, що може призвести до порушення даних або фінансових втрат.
Реальний приклад
У січні 2024 року Jupiter, агрегатор торгівлі в екосистемі Solana, оголосив про проведення аірдропу на суму 700 мільйонів доларів для винагороди ранніх користувачів. Однак перед подією ефіріум-базовий токен під назвою JUP показав аномальні коливання цін на ринку, що свідчило про шахрайську діяльність.
30 січня, в день перед початком аірдропу, ціна JUP зросла з $0,005 до $0,026, що становить зростання понад 430%, привертаючи увагу ринку. Незабаром після цього ціна знизилася до $0,007. Так як це сталося саме перед аірдропом Jupiter, шахраї скористалися ситуацією, залучаючи користувачів, переконуючи їх підключити свої гаманці в обмін на фальшиві токени.
Джерело: CoinmarketCap
Шахраї затім використовували популярність Юпітера, щоб увімкнути офіційні канали, розповсюджуючи посилання та інформацію про фальшивий аірдроп. Вони обдурювали користувачів, щоб відвідати фішингові сайти та підключити свої криптокошельки. Після підключення користувачів виконувалися автоматизовані транзакції, витягуючи гроші з їхніх гаманців і залишаючи жертв незнаючими, поки не стало занадто пізно.
Незважаючи на вражаючу продуктивність мережі Solana під час аірдропу - обробка 2,5 мільйона не голосуючих транзакцій лише за перші дві з половиною години - багато користувачів стикалися з проблемами використання сторонніх додатків, таких як Phantom Wallet та Solflare. За словами Остіна Федери, керівника стратегії в Фонді Solana, проблеми були викликані віддаленими викликами процедурних (RPC) вузлів, що призвело до широкого кола скарг від користувачів та пошкодило довіру до майбутніх аірдропів.
Хоча аеродроп Юпітера врешті-решт був успішним, шахрайство затемнило подію. Цей випадок підкреслює, наскільки приховані і шкідливі шахрайства можуть бути на криптовалютному ринку, нагадуючи користувачам бути пильними при участі в криптовалютних активностях.
Джерело: Юпітер / X
Поширені шахрайства з Аірдропом
Зараз, коли аірдропи стають все більш популярними, поширюються різноманітні шахрайства. Хакери та аферисти використовують довіру користувачів та їх бажання отримати безкоштовні токени, щоб підстерегти їх. Нижче наведено деякі поширені типи шахрайств з аірдропами разом з детальними поясненнями:
Фальшиві облікові записи в соціальних мережах
Це один з найпоширеніших шахрайств, особливо коли хакерам вдається заволодіти офіційними обліковими записами проекту в соціальних мережах (наприклад, Twitter). Вони часто контролюють ці облікові записи або створюють фейкові облікові записи проекту, наслідуючи стиль соціальних мереж відомих проектів або ключових думок лідерів (KOLs), і публікують фейкову інформацію про аірдроп.
Успіх цього шахрайства полягає в його здатності скористатися довірою користувачів до офіційних каналів та їхнім захопленням безкоштовними токенами, що змушує їх знижувати пильність. Наприклад, коли відомий проєкт оголошує про аірдроп, хакери можуть негайно створити фальшивий обліковий запис, який виглядає майже ідентично офіційному, і опублікувати те, що здається «офіційним аірдропом». Це спрямовує користувачів на фішингові веб-сайти, замасковані під справжні. Після того, як користувачі вводять особисту інформацію або завантажують файли з цих сайтів, вони можуть запустити шкідливе програмне забезпечення, що призведе до крадіжки активів їхніх гаманців.
Джерело: academy.binance.com
Ці шахраїнські схеми використовують довіру користувачів до популярних брендів та осіб, особливо під час кампаній з аірдропами, коли користувачі бажають отримати безкоштовні токени та нехтувати потенційними ризиками. Це слугує нагадуванням, що, зіткнувшись з інформацією про аірдроп, яка, як стверджується, видана відомими особами або офіційними каналами, не слід сліпо довіряти КОЛам. Користувачі повинні завжди перевіряти інформацію через офіційні канали проекту, щоб забезпечити безпеку своїх віртуальних активів.
Фейкові токени
У цьому шахрайстві хакери можуть надсилати нікчемні токени на гаманці користувачів, щоб спокусити їх взаємодіяти з ними. Користувачі часто перенаправляються на фішинговий веб-сайт, який краде їхню конфіденційну інформацію або активи, коли вони намагаються перевірити або передати ці токени. Наприклад, хакери можуть надсилати користувачам «фальшиве сповіщення про аірдроп», стверджуючи, що вони повинні відвідати фішинговий веб-сайт, щоб «розблокувати» токени, обманом змушуючи користувачів повірити, що це законний процес. Самі того не знаючи, користувачі можуть ввести свої приватні ключі або початкові фрази, що призведе до крадіжки їхніх активів.
Небезпека цього шахрайства полягає в тому, що користувачі можуть не відразу усвідомити, що їхній гаманець був скомпрометований, доки вони не спробують здійснити транзакцію, а потім виявлять, що їхні активи вже зникли. Цей тип шахрайства полює на цікавість користувачів до нових токенів та їхнє бажання отримати безкоштовні активи, часто знижуючи пильність у гонитві за потенційними прибутками, що збільшує ймовірність стати жертвою шахрайства. Щоб уникнути таких ризиків, користувачі завжди повинні бути напоготові, особливо отримуючи сповіщення про airdrop, і ніколи не натискати посилання та не завантажувати вкладення наосліп. Також рекомендується, щоб користувачі регулярно перевіряли історію транзакцій свого гаманця, щоб завчасно виявити будь-яку підозрілу активність і вжити необхідних заходів для захисту своїх активів.
Джерело: medium.com
Зловмисні Контракти
На відміну від інших методів шахрайства, зловмисні атаки на контракти спрямовані на маніпулювання вартістю газу при взаємодії користувачів з контрактами. Хакери створюють видимо звичайні контракти, але обманюють користувачів, змушуючи їх ненавмисно схвалювати завищені витрати на газ.
Ці атаки важко виявити, і більшість користувачів усвідомлюють це лише після несподівано високих комісій за транзакції. Наприклад, деякі шкідливі контракти можуть динамічно збільшувати ліміт газу на основі балансу користувача, змушуючи користувачів платити вищу комісію за газ, ніж очікувалося під час рутинних транзакцій. Це призводить до фінансових втрат, а іноді навіть до невдалих транзакцій, а хакери привласнюють собі надмірну комісію за газ.
Щоб мінімізувати ризик взаємодії з зловісними контрактами, користувачі повинні бути обережними щодо будь-якого контракту, який претендує на автоматизацію дій або збільшення доходів, особливо тих, що обіцяють «покупки безкоштовно» або «автоматизовану взаємодію».
Викрадення через задні ворота
«Задній прохід» - це будь-який метод, який дозволяє користувачам обходити стандартні процедури аутентифікації на пристрої або мережі, створюючи альтернативну точку входу для хакерів для доступу до ресурсів, таких як бази даних або файлові сервери віддалено.
У криптовалюті деякі аірдропи можуть просити користувачів завантажити конкретні плагіни для виконання завдань, таких як перегляд рідкісності токенів або завдань з перекладу. Однак ці плагіни можуть не бути піддані повністю безпечним перевіркам і містити «задні двері». Після встановлення хакери можуть віддалено красти приватні ключі користувачів, фрази-сім'янки або навіть заволодіти повним контролем над їх гаманцями.
У іншому сценарії деякі користувачі використовують автоматизовані скрипти для отримання аірдропів оптом, намагаючись заощадити час. Хоча ці скрипти здаються зручними, вони пов'язані зі значними ризиками безпеки. Багато з них розповсюджуються через неофіційні канали та містять неперевірений код, що дозволяє хакерам приховувати зловмисні програми. Ці програми можуть реєструвати дії користувачів та завантажувати дані на віддалені сервери, в кінцевому підсумку крадучи чутливу інформацію.
Джерело: X
Наприклад, 24 грудня 2022 року група хакерів, яка називається Monkey Drainer, провела подібні атаки, приховуючи плагіни для аірдропу, обманюючи користувачів, щоб завантажити плагін або ввести чутливу інформацію. Як тільки користувачі завершують транзакцію або завантажують скрипт, плагін негайно відправляє приватні ключі або авторизації гаманця користувачів, дозволяючи хакерам повністю контролювати їх криптовалютні активи і врешті-решт викрасти мільйони доларів вартості криптовалюти.
Щоб уникнути таких ризиків, користувачам слід завантажувати плагіни лише з офіційних джерел та уникати неперевірених скриптів від сторонніх постачальників. Вони також повинні тримати програмне забезпечення гаманця актуальним та використовувати надійне антивірусне програмне забезпечення для сканування будь-яких завантажених файлів перед встановленням, щоб подальше зменшити ризик.
Знаки попередження
Нереалістичні обіцянки
Якщо проект аірдропу обіцяє високий прибуток без будь-яких зусиль або інвестицій, це часто є попереджувальним сигналом. Шахраї часто використовують бажання користувачів отримати швидкі прибутки, рекламуючи спокусливі можливості (такі як інвестиційні схеми чи розіграші подарунків). Проте їхня справжня мета - обдурити користувачів, змусити їх брати участь і в кінцевому підсумку викрасти їх активи. Користувачам слід залишатися сумнівними щодо обіцянок, які здаються надто хорошими, щоб бути правдою.
Підозрілі запити
Будь-який аірдроп, який просять користувачів підключити свій гаманець до незнайомого веб-сайту або надати чутливу інформацію, слід розглядати з обережністю. Справжні аірдропи ніколи не просять користувачів розкривати приватні ключі, фрази відновлення або інші особисті дані. Шахраї часто використовують фальшиві запити, щоб вкрасти чутливу інформацію, що призводить до крадіжки активів, тому отримання підозрілих запитів є серйозним сигналом тривоги.
Відсутність прозорості
Перед участю в аірдропі завжди перевіряйте, чи є у проекту чітка документація, біла книга та надійні члени команди. Якщо проект не має прозорості або інформацію важко перевірити, ймовірно, це шахрайство.
Тактики рибалки
Користувачі повинні залишатися пильними проти тактики фішингу, включаючи підроблені веб-сайти, електронні листи та облікові записи в соціальних мережах, які видають себе за законні проєкти чи впливових осіб. Шахраї користуються швидкістю соціальних мереж і довірою користувачів, щоб швидко поширювати фальшиву інформацію, заманюючи користувачів натискати шкідливі посилання та викрадати особисту інформацію, яку вони потім використовують для незаконної вигоди.
Профілактичні заходи
Для користувачів
Перевірте джерела інформації
Перевірка достовірності джерела інформації має вирішальне значення для уникнення шахрайства перед участю в аірдропі. Користувачам слід остерігатися посилань, опублікованих випадковим чином у соціальних мережах, і натомість отримувати інформацію про аірдроп через офіційні канали. Відвідуючи веб-сайти аірдропів, уважно перевіряйте URL-адресу, щоб переконатися, що вона збігається з офіційним сайтом проєкту. Крім того, користувачі можуть підтвердити легітимність аірдропу, перевіривши офіційні оголошення або надійні джерела новин.
Використовуйте окремий гаманець
Для зменшення потенційних ризиків користувачам слід розглянути можливість створення окремого гаманця спеціально для активностей з роздачі токенів, зберігаючи свої основні активи в іншому гаманці.
Цей окремий гаманець слід використовувати лише для високоризикових дій, таких як участь в інтерактивних аірдропах або тестування нових проєктів. Під час зберігання основних активів безпечно в холодному гаманці, цей метод допомагає мінімізувати ризик втрати цінних активів через взаємодію з аірдропами.
Перевірка комісії за газ
Надзвичайно високі ліміти газу часто свідчать про те, що деякі параметри у транзакції були зловживані злочинно для збільшення комісій та незаконного збагачення. Це особливо поширене під час взаємодії після-аірдропу, коли деякі контракти використовують недбалість користувачів про газові комісії, що призводить до того, що вони платять значно вищі комісії, ніж очікувалося. Якщо газові комісії здаються надзвичайно великими, користувачам слід бути обережними, оскільки може бути залучений зловісний контракт.
Уникайте взаємодії з невідомими токенами
Хакери часто здійснюють аірдроп безцінних токенів на гаманці користувачів, що змушує їх взаємодіяти з цими токенами. Незважаючи на те, що токени можуть виглядати легітимними, їхня присутність створює ілюзію "безкоштовної винагороди", що спонукає користувачів авторизувати переказ токенів або розкрити інформацію про особистий ключ.
Якщо користувачі помічають токени у своєму гаманці, які вони ніколи не запитували, найбезпечніше діяти - ігнорувати ці невідомі токени та уникати будь-якої взаємодії. Ніколи не схвалюйте будь-які транзакції або не відправляйте такі токени, оскільки це може спричинити зловмисні контракти.
Використовуйте антивірусне програмне забезпечення
Користувачі повинні встановити та активувати надійне антивірусне програмне забезпечення, гарантуючи, що їхній пристрій завжди буде під захистом у реальному часі, особливо під час завантаження плагінів або сценаріїв, пов'язаних із airdrop. Це допомагає запобігти атакам зловмисного програмного забезпечення, блокуючи їх на ранніх стадіях.
Додатково рекомендується користуватися інструментами виявлення ризиків рибалки, такими як Scam Sniffer. Ці інструменти автоматично визначають відомі сайти фішингу або зловмисні адреси та попереджають користувачів, надаючи кращу захист від онлайн-загроз.
Для проектів
Щоб запобігти шахрайству з аірдропами, команди проєктів також повинні вживати комплексні заходи безпеки, зокрема:
Перевірки безпеки
Команди проектів повинні регулярно проводити комплексні аудити безпеки, особливо в критичних точках взаємодії з користувачем. Систематично оцінюючи код і процеси, вони можуть вчасно виявляти й усувати потенційні вразливості, підвищуючи довіру користувачів.
Регулярні аудити також допомагають командам проектів залишатися вирівняними з останніми стандартами безпеки, забезпечуючи безпеку даних користувачів та коштів в постійно змінній криптовалютній екосистемі.
Ефективні сповіщення про ризики
Гаманці повинні чітко нагадувати користувачам перевірити цільову адресу перед здійсненням транзакції, щоб уникнути шахрайств, де адреси мають схожі закінчення. Крім того, команди проектів можуть впровадити функцію білого списку, що дозволить користувачам додавати часто використовувані адреси до білого списку, щоб зменшити ризик таких атак.
Проекти також можуть збирати та обмінюватися інформацією про відомі веб-сайти фішингу в спільноті, що забезпечує користувачів попередженнями при взаємодії з цими сайтами, що може підвищити їх увагу до безпеки та забезпечити кращу захист.
Розпізнавання підпису та попередження
Гаманці повинні мати функцію, яка впізнає ризиковані запити підпису та сповіщає користувачів, особливо стосовно сліпого підписання. Це може допомогти користувачам краще зрозуміти, які дії вони збираються виконати, побуджуючи їх бути більш уважними при підтвердженні транзакцій.
Підвищення прозорості транзакцій
Перед тим, як користувачі виконують транзакцію, команди проекту повинні розкривати включені контракти та надавати чіткі деталі, такі як структури транзакцій DApp. Ця прозорість допомагає користувачам приймати обґрунтовані рішення та знижує ризик непередбачених проблем з безпекою.
Надаючи цю інформацію, проекти можуть збудувати довіру користувачів, покращити надійність платформи та допомогти користувачам краще зрозуміти екосистему, щоб уникнути втрати активів через неправильні операції.
Механізм передвиконання
Механізм попереднього виконання, який імітує результат транзакції перед її проведенням, може дозволити користувачам попередньо переглянути можливі результати. Це допомагає їм оцінити, чи є транзакція обґрунтованою та безпечною. На основі зворотного зв'язку перед виконанням користувачі можуть вирішити, чи відповідає транзакція їхнім очікуванням, що робить їх більш обережними та знижує ризик імпульсивних рішень.
Сповіщення про відповідність AML
Перед переказом проектні команди повинні контролювати адресу одержувача за допомогою механізмів боротьби з відмиванням грошей (AML), забезпечуючи завершення перевірки відповідності перед транзакцією. Користувачі повинні бути попереджені, якщо адреса активує правила AML, допомагаючи захистити їхні кошти від підозрілих рахунків або організацій, які потрапили під санкції, і зменшуючи потенційні юридичні та фінансові ризики.
Висновок
Зі зростанням екосистеми Web3, аірдропи залишаються високо гнучкою маркетинговою стратегією з великим потенціалом для проектів та користувачів. Однак ризики шахрайства не повинні бути ігноровані. У цій статті проаналізовано визначення, типи та тактики шахрайства аірдропів, підкреслюючи необхідність того, щоб користувачі залишалися бджилі, займаючись діяльністю аірдропів. Водночас вона підкреслює відповідальність команд проектів за покращення довіри та безпеки користувачів.
З майбутніми технологічними досягненнями та вдосконаленням екосистеми, активності аірдропу, ймовірно, інтегруватимуться з більш продуманими заходами безпеки, створюючи більш прозорий та надійний ринок. За допомогою інноваційних механізмів захисту та освіти користувачів, проекти та користувачі можуть спільно працювати, щоб насолоджуватися перевагами активностей аірдропу, ефективно пом'якшуючи ризики та сприяючи здоровому розвитку та процвітанню екосистеми Web3.
Статті на тему
Посібник для початківців
Що таке Gate Pay?
Ризики, про які ви повинні знати під час торгівлі криптовалютою
Посібник з попередження шахрайських схем Аірдропу
Вступ
Що таке Аірдроп?
Реальний приклад
Типові шахрайські схеми аірдропу
Знаки попередження
Профілактичні заходи
Висновок
Вступ
Аірдропи — популярна маркетингова стратегія у Web3-проєктах. Як правило, токени безкоштовно розповсюджуються на певні адреси гаманців, заохочуючи участь і взаємодію користувачів, а також допомагаючи новим проектам розширювати свою базу користувачів і підвищувати впізнаваність. Однак відкритий характер аірдропів робить їх головною мішенню для хакерів, які влаштовують пастки. Багато користувачів втратили значні суми активів, потрапивши на фішингові атаки.
У останні роки швидкий ріст криптовалютного ринку привернув увагу багатьох інвесторів. Ринкова вартість біткойна досягла сотень мільярдів доларів, а проекти альткоїнов на мільярди стають все поширенішими. Багато користувачів бажають взяти участь у роздачах (airdrops), бо бояться пропустити будь-які інвестиційні можливості, особливо під час коливань на ринку, коли обіцянки високих прибутків стають ще більш привабливими. Шахраї та хакери швидко використовують цю ентузіазм і роздачі (airdrop) стали поширеними шахрайствами.
Ця стаття розгляне поширені обмани аірдропів та надасть практичні поради щодо того, як їх уникнути. Аналізуючи різні шахрайські схеми та пропонуючи профілактичні поради, користувачі можуть стати більш уважними та краще захищати свої активи під час участі в аірдропах.
Що таке Аірдроп?
Визначення Аірдроп
Airdrop - це маркетингова стратегія Web3, при якій проект розподіляє токени безкоштовно до конкретних адрес гаманців, щоб привернути користувачів та збільшити ринкову витривалість.
Цей підхід допомагає розширити користувацьку базу проекту та стимулює участь користувачів в екосистемі проекту, підвищуючи взаємодію та активність. Аірдропи часто поєднуються з рекламними кампаніями, щоб звернути увагу на нові проекти, що робить їх важливим інструментом для підвищення усвідомленості бренду.
Види Аірдропів
Існують різні способи, за допомогою яких користувачі можуть отримувати аірдропи, і вони загалом поділяються на кілька категорій:
Airdrop на основі завдань: користувачам потрібно виконати конкретні завдання, такі як обмін контентом, вподобання публікацій у соціальних мережах або заповнення опитувань. Цей тип аірдропу підвищує залученість користувачів та створює додаткові рекламні переваги для проекту.
Airdrop на основі взаємодії: Користувачі можуть отримати токени, здійснюючи обмін токенами, відправляючи або отримуючи токени або здійснюючи міжланцюжкові операції. Ці аірдропи спрямовані на поглиблення залученості користувачів до проекту і допомогу їм зрозуміти його функції та сервіси.
Airdrop на основі утримання: Деякі проекти винагороджують користувачів, які утримують певні токени, надаючи їм додаткові токени. Це сприяє довгостроковому утриманню токенів проекту та збільшує ринковий попит.
Airdrop на основі стейкінгу: Користувачі отримують токени, роблячи стейкінг або забезпечуючи ліквідність. Ці airdrops сприяють участі в екосистемі проєкту, покращують ліквідність токенів та пропонують користувачам потенційний дохід.
У цілому, аірдропи є гнучкою та різноманітною маркетинговою стратегією. Вони швидко збільшують видимість проєкту та відповідають на різноманітні інтереси користувачів, що робить їх більш схильними до співпраці з екосистемою Web3. Однак користувачам слід бути обережними та усвідомлювати потенційні шахрайства, які можуть загрожувати їх активами.
Що таке шахрайство з випадковим випаданням?
Шахрайська схема розповсюдження безкоштовних токенів, коли шахраї видають себе за організаторів розіграшів токенів або монет, щоб обманом змусити користувачів взаємодіяти з ними. Вони приваблюють користувачів пропозиціями про фіктивні можливості отримання токенів, використовуючи привабливість безкоштовних токенів, щоб зманити недбалу особу підключати свої гаманці до шкідливих веб-сайтів. Після підключення шахраї можуть вкрасти активи або конфіденційну інформацію, що може призвести до порушення даних або фінансових втрат.
Реальний приклад
У січні 2024 року Jupiter, агрегатор торгівлі в екосистемі Solana, оголосив про проведення аірдропу на суму 700 мільйонів доларів для винагороди ранніх користувачів. Однак перед подією ефіріум-базовий токен під назвою JUP показав аномальні коливання цін на ринку, що свідчило про шахрайську діяльність.
30 січня, в день перед початком аірдропу, ціна JUP зросла з $0,005 до $0,026, що становить зростання понад 430%, привертаючи увагу ринку. Незабаром після цього ціна знизилася до $0,007. Так як це сталося саме перед аірдропом Jupiter, шахраї скористалися ситуацією, залучаючи користувачів, переконуючи їх підключити свої гаманці в обмін на фальшиві токени.
Джерело: CoinmarketCap
Шахраї затім використовували популярність Юпітера, щоб увімкнути офіційні канали, розповсюджуючи посилання та інформацію про фальшивий аірдроп. Вони обдурювали користувачів, щоб відвідати фішингові сайти та підключити свої криптокошельки. Після підключення користувачів виконувалися автоматизовані транзакції, витягуючи гроші з їхніх гаманців і залишаючи жертв незнаючими, поки не стало занадто пізно.
Незважаючи на вражаючу продуктивність мережі Solana під час аірдропу - обробка 2,5 мільйона не голосуючих транзакцій лише за перші дві з половиною години - багато користувачів стикалися з проблемами використання сторонніх додатків, таких як Phantom Wallet та Solflare. За словами Остіна Федери, керівника стратегії в Фонді Solana, проблеми були викликані віддаленими викликами процедурних (RPC) вузлів, що призвело до широкого кола скарг від користувачів та пошкодило довіру до майбутніх аірдропів.
Хоча аеродроп Юпітера врешті-решт був успішним, шахрайство затемнило подію. Цей випадок підкреслює, наскільки приховані і шкідливі шахрайства можуть бути на криптовалютному ринку, нагадуючи користувачам бути пильними при участі в криптовалютних активностях.
Джерело: Юпітер / X
Поширені шахрайства з Аірдропом
Зараз, коли аірдропи стають все більш популярними, поширюються різноманітні шахрайства. Хакери та аферисти використовують довіру користувачів та їх бажання отримати безкоштовні токени, щоб підстерегти їх. Нижче наведено деякі поширені типи шахрайств з аірдропами разом з детальними поясненнями:
Фальшиві облікові записи в соціальних мережах
Це один з найпоширеніших шахрайств, особливо коли хакерам вдається заволодіти офіційними обліковими записами проекту в соціальних мережах (наприклад, Twitter). Вони часто контролюють ці облікові записи або створюють фейкові облікові записи проекту, наслідуючи стиль соціальних мереж відомих проектів або ключових думок лідерів (KOLs), і публікують фейкову інформацію про аірдроп.
Успіх цього шахрайства полягає в його здатності скористатися довірою користувачів до офіційних каналів та їхнім захопленням безкоштовними токенами, що змушує їх знижувати пильність. Наприклад, коли відомий проєкт оголошує про аірдроп, хакери можуть негайно створити фальшивий обліковий запис, який виглядає майже ідентично офіційному, і опублікувати те, що здається «офіційним аірдропом». Це спрямовує користувачів на фішингові веб-сайти, замасковані під справжні. Після того, як користувачі вводять особисту інформацію або завантажують файли з цих сайтів, вони можуть запустити шкідливе програмне забезпечення, що призведе до крадіжки активів їхніх гаманців.
Джерело: academy.binance.com
Ці шахраїнські схеми використовують довіру користувачів до популярних брендів та осіб, особливо під час кампаній з аірдропами, коли користувачі бажають отримати безкоштовні токени та нехтувати потенційними ризиками. Це слугує нагадуванням, що, зіткнувшись з інформацією про аірдроп, яка, як стверджується, видана відомими особами або офіційними каналами, не слід сліпо довіряти КОЛам. Користувачі повинні завжди перевіряти інформацію через офіційні канали проекту, щоб забезпечити безпеку своїх віртуальних активів.
Фейкові токени
У цьому шахрайстві хакери можуть надсилати нікчемні токени на гаманці користувачів, щоб спокусити їх взаємодіяти з ними. Користувачі часто перенаправляються на фішинговий веб-сайт, який краде їхню конфіденційну інформацію або активи, коли вони намагаються перевірити або передати ці токени. Наприклад, хакери можуть надсилати користувачам «фальшиве сповіщення про аірдроп», стверджуючи, що вони повинні відвідати фішинговий веб-сайт, щоб «розблокувати» токени, обманом змушуючи користувачів повірити, що це законний процес. Самі того не знаючи, користувачі можуть ввести свої приватні ключі або початкові фрази, що призведе до крадіжки їхніх активів.
Небезпека цього шахрайства полягає в тому, що користувачі можуть не відразу усвідомити, що їхній гаманець був скомпрометований, доки вони не спробують здійснити транзакцію, а потім виявлять, що їхні активи вже зникли. Цей тип шахрайства полює на цікавість користувачів до нових токенів та їхнє бажання отримати безкоштовні активи, часто знижуючи пильність у гонитві за потенційними прибутками, що збільшує ймовірність стати жертвою шахрайства. Щоб уникнути таких ризиків, користувачі завжди повинні бути напоготові, особливо отримуючи сповіщення про airdrop, і ніколи не натискати посилання та не завантажувати вкладення наосліп. Також рекомендується, щоб користувачі регулярно перевіряли історію транзакцій свого гаманця, щоб завчасно виявити будь-яку підозрілу активність і вжити необхідних заходів для захисту своїх активів.
Джерело: medium.com
Зловмисні Контракти
На відміну від інших методів шахрайства, зловмисні атаки на контракти спрямовані на маніпулювання вартістю газу при взаємодії користувачів з контрактами. Хакери створюють видимо звичайні контракти, але обманюють користувачів, змушуючи їх ненавмисно схвалювати завищені витрати на газ.
Ці атаки важко виявити, і більшість користувачів усвідомлюють це лише після несподівано високих комісій за транзакції. Наприклад, деякі шкідливі контракти можуть динамічно збільшувати ліміт газу на основі балансу користувача, змушуючи користувачів платити вищу комісію за газ, ніж очікувалося під час рутинних транзакцій. Це призводить до фінансових втрат, а іноді навіть до невдалих транзакцій, а хакери привласнюють собі надмірну комісію за газ.
Щоб мінімізувати ризик взаємодії з зловісними контрактами, користувачі повинні бути обережними щодо будь-якого контракту, який претендує на автоматизацію дій або збільшення доходів, особливо тих, що обіцяють «покупки безкоштовно» або «автоматизовану взаємодію».
Викрадення через задні ворота
«Задній прохід» - це будь-який метод, який дозволяє користувачам обходити стандартні процедури аутентифікації на пристрої або мережі, створюючи альтернативну точку входу для хакерів для доступу до ресурсів, таких як бази даних або файлові сервери віддалено.
У криптовалюті деякі аірдропи можуть просити користувачів завантажити конкретні плагіни для виконання завдань, таких як перегляд рідкісності токенів або завдань з перекладу. Однак ці плагіни можуть не бути піддані повністю безпечним перевіркам і містити «задні двері». Після встановлення хакери можуть віддалено красти приватні ключі користувачів, фрази-сім'янки або навіть заволодіти повним контролем над їх гаманцями.
У іншому сценарії деякі користувачі використовують автоматизовані скрипти для отримання аірдропів оптом, намагаючись заощадити час. Хоча ці скрипти здаються зручними, вони пов'язані зі значними ризиками безпеки. Багато з них розповсюджуються через неофіційні канали та містять неперевірений код, що дозволяє хакерам приховувати зловмисні програми. Ці програми можуть реєструвати дії користувачів та завантажувати дані на віддалені сервери, в кінцевому підсумку крадучи чутливу інформацію.
Джерело: X
Наприклад, 24 грудня 2022 року група хакерів, яка називається Monkey Drainer, провела подібні атаки, приховуючи плагіни для аірдропу, обманюючи користувачів, щоб завантажити плагін або ввести чутливу інформацію. Як тільки користувачі завершують транзакцію або завантажують скрипт, плагін негайно відправляє приватні ключі або авторизації гаманця користувачів, дозволяючи хакерам повністю контролювати їх криптовалютні активи і врешті-решт викрасти мільйони доларів вартості криптовалюти.
Щоб уникнути таких ризиків, користувачам слід завантажувати плагіни лише з офіційних джерел та уникати неперевірених скриптів від сторонніх постачальників. Вони також повинні тримати програмне забезпечення гаманця актуальним та використовувати надійне антивірусне програмне забезпечення для сканування будь-яких завантажених файлів перед встановленням, щоб подальше зменшити ризик.
Знаки попередження
Нереалістичні обіцянки
Якщо проект аірдропу обіцяє високий прибуток без будь-яких зусиль або інвестицій, це часто є попереджувальним сигналом. Шахраї часто використовують бажання користувачів отримати швидкі прибутки, рекламуючи спокусливі можливості (такі як інвестиційні схеми чи розіграші подарунків). Проте їхня справжня мета - обдурити користувачів, змусити їх брати участь і в кінцевому підсумку викрасти їх активи. Користувачам слід залишатися сумнівними щодо обіцянок, які здаються надто хорошими, щоб бути правдою.
Підозрілі запити
Будь-який аірдроп, який просять користувачів підключити свій гаманець до незнайомого веб-сайту або надати чутливу інформацію, слід розглядати з обережністю. Справжні аірдропи ніколи не просять користувачів розкривати приватні ключі, фрази відновлення або інші особисті дані. Шахраї часто використовують фальшиві запити, щоб вкрасти чутливу інформацію, що призводить до крадіжки активів, тому отримання підозрілих запитів є серйозним сигналом тривоги.
Відсутність прозорості
Перед участю в аірдропі завжди перевіряйте, чи є у проекту чітка документація, біла книга та надійні члени команди. Якщо проект не має прозорості або інформацію важко перевірити, ймовірно, це шахрайство.
Тактики рибалки
Користувачі повинні залишатися пильними проти тактики фішингу, включаючи підроблені веб-сайти, електронні листи та облікові записи в соціальних мережах, які видають себе за законні проєкти чи впливових осіб. Шахраї користуються швидкістю соціальних мереж і довірою користувачів, щоб швидко поширювати фальшиву інформацію, заманюючи користувачів натискати шкідливі посилання та викрадати особисту інформацію, яку вони потім використовують для незаконної вигоди.
Профілактичні заходи
Для користувачів
Перевірте джерела інформації
Перевірка достовірності джерела інформації має вирішальне значення для уникнення шахрайства перед участю в аірдропі. Користувачам слід остерігатися посилань, опублікованих випадковим чином у соціальних мережах, і натомість отримувати інформацію про аірдроп через офіційні канали. Відвідуючи веб-сайти аірдропів, уважно перевіряйте URL-адресу, щоб переконатися, що вона збігається з офіційним сайтом проєкту. Крім того, користувачі можуть підтвердити легітимність аірдропу, перевіривши офіційні оголошення або надійні джерела новин.
Використовуйте окремий гаманець
Для зменшення потенційних ризиків користувачам слід розглянути можливість створення окремого гаманця спеціально для активностей з роздачі токенів, зберігаючи свої основні активи в іншому гаманці.
Цей окремий гаманець слід використовувати лише для високоризикових дій, таких як участь в інтерактивних аірдропах або тестування нових проєктів. Під час зберігання основних активів безпечно в холодному гаманці, цей метод допомагає мінімізувати ризик втрати цінних активів через взаємодію з аірдропами.
Перевірка комісії за газ
Надзвичайно високі ліміти газу часто свідчать про те, що деякі параметри у транзакції були зловживані злочинно для збільшення комісій та незаконного збагачення. Це особливо поширене під час взаємодії після-аірдропу, коли деякі контракти використовують недбалість користувачів про газові комісії, що призводить до того, що вони платять значно вищі комісії, ніж очікувалося. Якщо газові комісії здаються надзвичайно великими, користувачам слід бути обережними, оскільки може бути залучений зловісний контракт.
Уникайте взаємодії з невідомими токенами
Хакери часто здійснюють аірдроп безцінних токенів на гаманці користувачів, що змушує їх взаємодіяти з цими токенами. Незважаючи на те, що токени можуть виглядати легітимними, їхня присутність створює ілюзію "безкоштовної винагороди", що спонукає користувачів авторизувати переказ токенів або розкрити інформацію про особистий ключ.
Якщо користувачі помічають токени у своєму гаманці, які вони ніколи не запитували, найбезпечніше діяти - ігнорувати ці невідомі токени та уникати будь-якої взаємодії. Ніколи не схвалюйте будь-які транзакції або не відправляйте такі токени, оскільки це може спричинити зловмисні контракти.
Використовуйте антивірусне програмне забезпечення
Користувачі повинні встановити та активувати надійне антивірусне програмне забезпечення, гарантуючи, що їхній пристрій завжди буде під захистом у реальному часі, особливо під час завантаження плагінів або сценаріїв, пов'язаних із airdrop. Це допомагає запобігти атакам зловмисного програмного забезпечення, блокуючи їх на ранніх стадіях.
Додатково рекомендується користуватися інструментами виявлення ризиків рибалки, такими як Scam Sniffer. Ці інструменти автоматично визначають відомі сайти фішингу або зловмисні адреси та попереджають користувачів, надаючи кращу захист від онлайн-загроз.
Для проектів
Щоб запобігти шахрайству з аірдропами, команди проєктів також повинні вживати комплексні заходи безпеки, зокрема:
Перевірки безпеки
Команди проектів повинні регулярно проводити комплексні аудити безпеки, особливо в критичних точках взаємодії з користувачем. Систематично оцінюючи код і процеси, вони можуть вчасно виявляти й усувати потенційні вразливості, підвищуючи довіру користувачів.
Регулярні аудити також допомагають командам проектів залишатися вирівняними з останніми стандартами безпеки, забезпечуючи безпеку даних користувачів та коштів в постійно змінній криптовалютній екосистемі.
Ефективні сповіщення про ризики
Гаманці повинні чітко нагадувати користувачам перевірити цільову адресу перед здійсненням транзакції, щоб уникнути шахрайств, де адреси мають схожі закінчення. Крім того, команди проектів можуть впровадити функцію білого списку, що дозволить користувачам додавати часто використовувані адреси до білого списку, щоб зменшити ризик таких атак.
Проекти також можуть збирати та обмінюватися інформацією про відомі веб-сайти фішингу в спільноті, що забезпечує користувачів попередженнями при взаємодії з цими сайтами, що може підвищити їх увагу до безпеки та забезпечити кращу захист.
Розпізнавання підпису та попередження
Гаманці повинні мати функцію, яка впізнає ризиковані запити підпису та сповіщає користувачів, особливо стосовно сліпого підписання. Це може допомогти користувачам краще зрозуміти, які дії вони збираються виконати, побуджуючи їх бути більш уважними при підтвердженні транзакцій.
Підвищення прозорості транзакцій
Перед тим, як користувачі виконують транзакцію, команди проекту повинні розкривати включені контракти та надавати чіткі деталі, такі як структури транзакцій DApp. Ця прозорість допомагає користувачам приймати обґрунтовані рішення та знижує ризик непередбачених проблем з безпекою.
Надаючи цю інформацію, проекти можуть збудувати довіру користувачів, покращити надійність платформи та допомогти користувачам краще зрозуміти екосистему, щоб уникнути втрати активів через неправильні операції.
Механізм передвиконання
Механізм попереднього виконання, який імітує результат транзакції перед її проведенням, може дозволити користувачам попередньо переглянути можливі результати. Це допомагає їм оцінити, чи є транзакція обґрунтованою та безпечною. На основі зворотного зв'язку перед виконанням користувачі можуть вирішити, чи відповідає транзакція їхнім очікуванням, що робить їх більш обережними та знижує ризик імпульсивних рішень.
Сповіщення про відповідність AML
Перед переказом проектні команди повинні контролювати адресу одержувача за допомогою механізмів боротьби з відмиванням грошей (AML), забезпечуючи завершення перевірки відповідності перед транзакцією. Користувачі повинні бути попереджені, якщо адреса активує правила AML, допомагаючи захистити їхні кошти від підозрілих рахунків або організацій, які потрапили під санкції, і зменшуючи потенційні юридичні та фінансові ризики.
Висновок
Зі зростанням екосистеми Web3, аірдропи залишаються високо гнучкою маркетинговою стратегією з великим потенціалом для проектів та користувачів. Однак ризики шахрайства не повинні бути ігноровані. У цій статті проаналізовано визначення, типи та тактики шахрайства аірдропів, підкреслюючи необхідність того, щоб користувачі залишалися бджилі, займаючись діяльністю аірдропів. Водночас вона підкреслює відповідальність команд проектів за покращення довіри та безпеки користувачів.
З майбутніми технологічними досягненнями та вдосконаленням екосистеми, активності аірдропу, ймовірно, інтегруватимуться з більш продуманими заходами безпеки, створюючи більш прозорий та надійний ринок. За допомогою інноваційних механізмів захисту та освіти користувачів, проекти та користувачі можуть спільно працювати, щоб насолоджуватися перевагами активностей аірдропу, ефективно пом'якшуючи ризики та сприяючи здоровому розвитку та процвітанню екосистеми Web3.
Статті на тему
Посібник для початківців
Що таке Gate Pay?