Nền tảng

Trong lần cuối cùng của chúng tôi Hướng dẫn cho người mới bắt đầu về An ninh Web3Lần này, chúng tôi sẽ thảo luận về một chiến lược tiếp thị phổ biến được sử dụng trong cả ngành công nghiệp truyền thống và không gian tiền điện tử: Airdrop.

Airdrops là cách nhanh chóng giúp các dự án tăng sự nhận thức và nhanh chóng xây dựng cơ sở người dùng. Khi tham gia các dự án Web3, người dùng được yêu cầu nhấp vào các liên kết và tương tác với nhóm để yêu cầu token, nhưng các hacker đã thiết lập các bẫy trong quá trình này. Từ các trang web giả mạo đến các công cụ độc hại ẩn, các rủi ro là thực sự. Trong hướng dẫn này, chúng tôi sẽ phân tích chi tiết về các chiêu trò airdrop điển hình và giúp bạn bảo vệ bản thân.

Airdrop là gì?

Một airdrop là khi một dự án Web3 phân phối các token miễn phí cho các địa chỉ ví cụ thể nhằm tăng cường tầm nhìn và thu hút người dùng. Đây là một cách trực tiếp để các dự án thu hút sự chú ý. Airdrop có thể được phân loại dựa trên cách mà chúng được yêu cầu:

• Dựa trên nhiệm vụ: Hoàn thành các nhiệm vụ cụ thể như chia sẻ, thích, hoặc hành động khác.
• Tương tác: Hoàn thành các hành động như trao đổi token, gửi/nhận token, hoặc thực hiện các hoạt động chéo chuỗi.
• Dựa trên việc nắm giữ: Nắm giữ một số token để đủ điều kiện nhận airdrop.
• Dựa trên Staking: Đặt cược token, cung cấp thanh khoản, hoặc khóa tài sản trong một khoảng thời gian để kiếm được token airdrop.

Rủi ro khi yêu cầu Airdrop

Các Cú Lừa Airdrop Giả Mạo

Dưới đây là một số loại thông dụng của các chiêu trò lừa đảo airdrop giả mạo:

1. Kẻ tấn công nắm quyền điều khiển tài khoản chính thức của dự án để đăng thông báo airdrop giả mạo. Chúng ta thường thấy cảnh báo như ‘Tài khoản X hoặc tài khoản Discord của một dự án nào đó đã bị tấn công. Xin vui lòng không nhấp vào liên kết lừa đảo được đăng bởi kẻ tấn công.’ Theo báo cáo của SlowMist năm 2024, chỉ trong nửa đầu năm đã có 27 trường hợp tài khoản dự án bị tấn công. Người dùng, tin tưởng vào tài khoản chính thức, nhấp vào các liên kết này và bị chuyển đến các trang web giả mạo dưới hình thức airdrop. Nếu bạn nhập khóa riêng tư hoặc cụm từ gốc hoặc xác thực bất kỳ quyền nào trên các trang web này, kẻ tấn công có thể đánh cắp tài sản của bạn.

1. Bất hợp pháp sử dụng bản sao chất lượng cao của tài khoản nhóm dự án để đăng các tin nhắn giả mạo trong phần bình luận của tài khoản dự án chính thức, kích thích người dùng nhấp vào các liên kết lừa đảo. Nhóm an ninh SlowMist trước đây đã phân tích phương pháp này và cung cấp các biện pháp đối phó (xemNhóm Dự án Giả: Hãy cẩn thận với lừa đảo trong phần Bình luận của Các Tài khoản Imitation). Ngoài ra, sau khi dự án chính thức công bố một airdrop, các hacker nhanh chóng theo đuổi bằng cách sử dụng các tài khoản giả mạo để đăng nhiều cập nhật chứa liên kết lừa đảo trên các nền tảng mạng xã hội. Nhiều người dùng, không nhận ra được tài khoản giả mạo, cuối cùng cài đặt ứng dụng gian lận hoặc mở các trang web lừa đảo nơi họ thực hiện các hoạt động xác thực chữ ký.

(https://x.com/im23pds/status/1765577919819362702)

1. Phương pháp lừa đảo thứ ba còn tệ hơn và là một phương pháp lừa đảo cổ điển. Kẻ lừa đảo ẩn nấp trong các nhóm dự án Web3, chọn người dùng mục tiêu và tiến hành các cuộc tấn công kỹ thuật xã hội. Đôi khi, họ sử dụng airdrop như mồi câu, ‘dạy’ người dùng cách chuyển token để nhận airdrop. Người dùng nên cảnh giác và không dễ dàng tin tưởng bất kỳ ai liên hệ với họ là ‘dịch vụ khách hàng chính thức’ hoặc tuyên bố ‘dạy’ cho họ cách hoạt động. Những cá nhân này có khả năng là kẻ lừa đảo. Bạn có thể nghĩ rằng bạn chỉ đang nhận một airdrop, nhưng cuối cùng lại gánh chịu những tổn thất nặng nề.

“Miễn phí” Airdrop Tokens: Hiểu rõ những rủi ro

Airdrop rất phổ biến trong không gian tiền điện tử, nơi người dùng thường cần hoàn thành một số nhiệm vụ nhất định để kiếm mã thông báo miễn phí. Tuy nhiên, có những hành vi độc hại lợi dụng những cơ hội này. Ví dụ: tin tặc có thể airdrop token không có giá trị thực tế vào ví của người dùng. Những người dùng này sau đó có thể cố gắng tương tác với các mã thông báo này — chuyển chúng, kiểm tra giá trị của chúng hoặc thậm chí giao dịch chúng trên các sàn giao dịch phi tập trung. Tuy nhiên, sau khi thiết kế ngược hợp đồng NFT lừa đảo, chúng tôi nhận thấy rằng các nỗ lực chuyển hoặc niêm yết NFT không thành công và xuất hiện thông báo lỗi: “Truy cập trang web để mở khóa mặt hàng của bạn”, đánh lừa người dùng truy cập trang web lừa đảo.

Nếu người dùng mắc bẫy và truy cập vào trang web lừa đảo, hacker có thể thực hiện một số hành động có hại:

• Mua sắm số lượng lớn NFT có giá trị thông qua cơ chế “zero-cost” (xem chi tiết ở “Lừa đảo NFT Miễn phí“ để biết thêm chi tiết).
• Đánh cắp các phê duyệt token có giá trị cao hoặc các giấy phép ký tên.
• Đánh cắp tài sản cố định từ ví của người dùng.

Tiếp theo, hãy xem cách các hacker sử dụng một hợp đồng độc hại được tạo ra một cách cẩn thận để đánh cắp phí Gas của người dùng. Đầu tiên, hacker tạo một hợp đồng độc hại có tên GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) trên BSC, sử dụng các token được airdrop để thu hút người dùng tương tác với nó. Khi người dùng tương tác với hợp đồng độc hại này, một yêu cầu hiện lên để thông qua hợp đồng để sử dụng token trong ví của người dùng. Nếu người dùng thông qua yêu cầu này, hợp đồng độc hại sẽ tự động tăng giới hạn Gas dựa trên số dư ví của người dùng, gây ra việc tiêu thụ phí Gas cao hơn trong các giao dịch tiếp theo.

Sử dụng giới hạn Gas cao do người dùng cung cấp, hợp đồng độc hại sử dụng Gas thừa để đúc token CHI (token CHI có thể được sử dụng để bồi thường Gas). Sau khi tích lũy một lượng lớn token CHI, hacker có thể đốt token này để nhận được bồi thường Gas khi hợp đồng bị phá hủy.

(https://x.com/SlowMist_Team/status/1640614440294035456)

Thông qua phương pháp này, kẻ tấn công thông minh kiếm lợi từ phí Gas của người dùng, và người dùng có thể không nhận ra rằng họ đã trả thêm phí Gas. Ban đầu, người dùng nghĩ rằng họ có thể kiếm lợi bằng cách bán các token được nhận qua airdrop nhưng kết quả lại là tài sản gốc của họ đã bị đánh cắp.

Công cụ bị backdoor

( https://x.com/evilcos/status/1593525621992599552)

Trong quá trình yêu cầu airdrop, một số người dùng cần tải xuống plugin để dịch hoặc tra cứu độ hiếm của token, cùng với các chức năng khác. An toàn của những plugin này là đáng nghi, và một số người dùng tải chúng từ các nguồn không chính thức, tăng nguy cơ tải xuống các plugin có backdoor.

Ngoài ra, chúng tôi đã nhận thấy có các dịch vụ trực tuyến đang bán các kịch bản airdrop được tuyên bố tự động hóa tương tác hàng loạt. Mặc dù điều này nghe có vẻ hiệu quả, người dùng nên cẩn thận vì việc tải xuống các kịch bản chưa được xác minh là rất nguy hiểm. Bạn không thể chắc chắn về nguồn gốc hoặc chức năng thực sự của kịch bản. Nó có thể chứa mã độc hại, có thể đe dọa đánh cắp khóa riêng tư hoặc cụm từ gốc hoặc thực hiện các hành động trái phép khác. Hơn nữa, một số người dùng thực hiện các hoạt động nguy hiểm như vậy mà không có phần mềm chống virus, điều này có thể dẫn đến nhiễm trùng Trojan không được phát hiện, gây thiệt hại cho thiết bị của họ.

Tóm tắt

Hướng dẫn này chủ yếu giải thích về các rủi ro liên quan đến việc yêu cầu airdrop bằng cách phân tích các trò lừa đảo. Hiện nay nhiều dự án sử dụng airdrop như một công cụ tiếp thị. Người dùng có thể thực hiện các biện pháp sau để giảm thiểu rủi ro mất tài sản trong quá trình yêu cầu airdrop:

• Đa xác minh: Khi truy cập vào một trang web airdrop, hãy kiểm tra kỹ URL. Xác nhận thông qua tài khoản dự án chính thức hoặc kênh thông báo. Bạn cũng có thể cài đặt các plugin chặn rủi ro lừa đảo (như Scam Sniffer) để giúp nhận diện các trang web lừa đảo.
• Phân đoạn ví: Sử dụng một ví có số tiền nhỏ để yêu cầu airdrop, và lưu trữ số lượng lớn trong một ví lạnh.
• Hãy Cẩn Thận với Các Đồng Token Được Airdrop: Hãy cẩn thận với các đồng token được airdrop từ các nguồn không rõ. Tránh việc ủy quyền hoặc ký giao dịch một cách vội vã.
• Kiểm tra Giới hạn Gas: Chú ý xem xét xem giới hạn Gas cho giao dịch có cao bất thường không.
• Sử dụng phần mềm diệt virus: Sử dụng phần mềm diệt virus nổi tiếng (như Kaspersky, AVG, v.v.) để bật tính năng bảo vệ thời gian thực và đảm bảo cập nhật định nghĩa virus.

Tuyên bố từ chối trách nhiệm:

1. Bài viết này được sao chép từ Công nghệ SlowMist, bản quyền thuộc về tác giả ban đầu [SlowMist Security Team]. Nếu có phản đối về việc sao chép lại này, vui lòng liên hệ với Cổng Họcđội ngũ và họ sẽ xử lý nhanh chóng.
2. Miễn trách nhiệm về trách nhiệm: Quan điểm và ý kiến được diễn đạt trong bài viết này chỉ thuộc về tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
3. Nhóm Gate Learn đã dịch bài viết sang các ngôn ngữ khác. Việc sao chép, phân phối hoặc đạo văn các bài viết đã được dịch là không được phép trừ khi được đề cập.