Web3安全入门指南:避免空投骗局
背景
在我们的最后一次Web3 安全入門指南在這個問題上,我們專注於涉及多簽名的釣魚攻擊,包括多簽名的工作原理、造成多簽名的原因以及如何防止你的錢包被利用。這一次,我們將討論一種在傳統行業和加密貨幣領域都常用的流行營銷策略:空投。
空投是项目快速获得关注并迅速建立用户群的一种方式。当参与Web3项目时,用户被要求点击链接并与团队互动以获取代币,但黑客在整个过程中设下陷阱。从假网站到隐藏的恶意工具,风险是真实存在的。在本指南中,我们将解析典型的空投骗局并帮助您保护自己。
什麼是空投?
空投是指Web3項目向特定錢包地址免費分發代幣,以增加可見度並吸引用戶。這是項目獲得關注的直接方式。空投可以根據索取方式進行分類:
- 基於任務: 完成特定任務,如分享、點贊或其他操作。
- 互動: 完成像交換代幣,發送/接收代幣,或進行跨鏈操作等操作。
- 基於持有:持有某些代幣,有資格參加空投。
- 基於 Staking:抵押代幣、提供流動性,或鎖定資產一段時間以賺取空投代幣。
聲明空投的風險
假空投騙局
這裡是一些常見的假空投詐騙類型:
- 黑客劫持了項目的官方帳戶,發布了假空投公告。我們經常看到類似的警報:“某個項目的 X 帳號或 Discord 帳號遭到了駭客攻擊。請不要點擊駭客發布的釣魚鏈接。”據 SlowMist 的 2024 年報告顯示,單單上半年就有 27 次項目帳戶被駭事件。信任官方帳戶的用戶點擊這些鏈接,被帶到偽裝成空投的釣魚網站。如果在這些網站輸入你的私鑰或種子短語,或授權任何權限,駭客可以竊取你的資產。
- 黑客使用高仿專案團隊帳號,在官方專案帳號的評論區發布虛假訊息,引誘用戶點擊釣魚連結。 SlowMist 安全團隊先前分析了這種方法並提供了對策(見,假項目團隊:小心仿冒帳戶評論區的釣魚此外,在官方項目宣佈空投後,黑客很快便會跟上,利用模仿帳戶在社交平台上發布許多包含釣魚鏈接的更新。許多用戶無法辨識假帳戶,最終安裝了欺詐應用程序或打開了釣魚網站,進行了簽名授權操作。
(https://x.com/im23pds/status/1765577919819362702)
- 第三种诈骗方法更糟糕,是经典的诈骗。骗子潜伏在 Web3 项目组中,选择目标用户并进行社交工程攻击。有时,他们会以空投为诱饵,“教”用户如何转移代币以获得空投。用户应保持警惕,不要轻易相信任何联系他们的“官方客服”或声称“教”他们如何操作的人。这些个人很可能是骗子。你可能认为自己只是在领取一个空投,但最终会遭受重大损失。
「免費」空投代幣:了解風險
在加密空間中,空投在用戶通常需要完成特定任務以贏得免費代幣方面很常見。然而,有一些惡意行為利用了這些機會。例如,黑客可能會向用戶空投沒有實際價值的代幣。這些用戶可能會嘗試與這些代幣進行互動——轉移它們、查看它們的價值,甚至在去中心化交易所上進行交易。但是,在對一個詐騙NFT合約進行逆向工程後,我們發現試圖轉移或列出NFT均失敗,並出現錯誤消息:“訪問網站解鎖您的物品”,誤導用戶訪問釣魚網站。
如果用户上当并访问钓鱼网站,黑客可以采取多种有害行动:
- 通過“零成本”機制批量購買有價值的NFT(參見“零成本NFT釣魚"(有关更多详情)。
- 窃取具有高价值的代币批准或签名许可。
- 從使用者錢包中竊取本地資產。
接下來,讓我們看看駭客如何使用精心製作的惡意合約來竊取用戶的 Gas 費用。首先,駭客在 BSC 上創建了一個名為 GPT(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)的惡意合約,使用空投代幣來吸引用戶與之互動。當用戶與這個惡意合約進行互動時,會彈出一個請求,要求批准該合約使用用戶錢包中的代幣。如果用戶批准此請求,該惡意合約會自動根據用戶錢包餘額增加 Gas 限制,導致後續交易消耗更多 Gas 費用。
利用用户提供的高Gas限制,恶意合约使用额外的Gas铸造CHI代币(CHI代币可用于Gas补偿)。在积累了大量的CHI代币之后,黑客可以在合约被销毁时烧毁这些代币以获得Gas补偿。
(https://x.com/SlowMist_Team/status/1640614440294035456)
通過這種方法,黑客巧妙地從用戶的Gas費中獲利,而用戶可能甚至意識不到他們支付了額外的Gas費用。用戶最初以為自己可以通過出售空投的代幣獲利,但最終他們的本地資產被盜。
後門工具
(https://x.com/evilcos/status/1593525621992599552)
在領取空投的過程中,一些用戶需要下載插件來翻譯或查詢代幣的珍稀度等功能。這些插件的安全性是值得懷疑的,一些用戶從非官方來源下載它們,增加了下載後門插件的風險。
此外,我們注意到有在線服務出售自動空投腳本,聲稱可以自動執行大量互動。儘管聽起來很有效,但用戶應該小心,因為下載未經驗證的腳本極其危險。您無法確定腳本的來源或真正功能。它可能包含惡意代碼,可能威脅到私鑰或種子短語,或執行其他未經授權的操作。此外,一些用戶在沒有防病毒軟件的情況下執行這些風險操作,這可能導致未被檢測到的特洛伊木馬感染,從而損害其設備。
摘要
本指南主要通過分析詐騙來解釋索取空投所帶來的風險。現在許多項目都將空投作為市場營銷工具。用戶可以採取以下措施來減少在索取空投過程中資產損失的風險:
- 多重驗證:訪問空投網站時,請仔細檢查網址。通過官方項目帳戶或公告頻道進行確認。您也可以安裝針對釣魚風險的阻擋插件(例如Scam Sniffer)來幫助識別釣魚網站。
- 錢包分段:使用具有少量資金的錢包以進行空投申請,並將大量資金存儲在冷錢包中。
- 小心空投代幣:請謹慎對待來自未知來源的空投代幣。避免匆忙授權或簽署交易。
- 檢查 Gas 限制: 請注意交易的 Gas 限制是否異常高。
- 使用防毒軟件:使用知名的防毒軟件(如卡巴斯基、AVG等)啟用實時保護,並確保病毒定義是最新的。
免責聲明:
- 本文轉載自 SlowMist 技術, 版權屬於原作者[SlowMist安全團隊]。如果對此轉載有異議,請聯繫gate 學習團隊會儘快處理它。
- 免責聲明:本文所表達的觀點和意見僅為作者個人觀點,並不構成任何投資建議。
- Gate Learn 團隊將該文章翻譯成其他語言。 未經許可,禁止複製、分發或剽竊翻譯後的文章。
相關文章
Gate 研究:比特幣反彈 3.5%,以太坊落後,Dinari 和 Pell Network TVL 暴增
交易加密貨幣時不可不知的風險
Web3安全入门指南:避免空投骗局
背景
在我们的最后一次Web3 安全入門指南在這個問題上,我們專注於涉及多簽名的釣魚攻擊,包括多簽名的工作原理、造成多簽名的原因以及如何防止你的錢包被利用。這一次,我們將討論一種在傳統行業和加密貨幣領域都常用的流行營銷策略:空投。
空投是项目快速获得关注并迅速建立用户群的一种方式。当参与Web3项目时,用户被要求点击链接并与团队互动以获取代币,但黑客在整个过程中设下陷阱。从假网站到隐藏的恶意工具,风险是真实存在的。在本指南中,我们将解析典型的空投骗局并帮助您保护自己。
什麼是空投?
空投是指Web3項目向特定錢包地址免費分發代幣,以增加可見度並吸引用戶。這是項目獲得關注的直接方式。空投可以根據索取方式進行分類:
- 基於任務: 完成特定任務,如分享、點贊或其他操作。
- 互動: 完成像交換代幣,發送/接收代幣,或進行跨鏈操作等操作。
- 基於持有:持有某些代幣,有資格參加空投。
- 基於 Staking:抵押代幣、提供流動性,或鎖定資產一段時間以賺取空投代幣。
聲明空投的風險
假空投騙局
這裡是一些常見的假空投詐騙類型:
- 黑客劫持了項目的官方帳戶,發布了假空投公告。我們經常看到類似的警報:“某個項目的 X 帳號或 Discord 帳號遭到了駭客攻擊。請不要點擊駭客發布的釣魚鏈接。”據 SlowMist 的 2024 年報告顯示,單單上半年就有 27 次項目帳戶被駭事件。信任官方帳戶的用戶點擊這些鏈接,被帶到偽裝成空投的釣魚網站。如果在這些網站輸入你的私鑰或種子短語,或授權任何權限,駭客可以竊取你的資產。
- 黑客使用高仿專案團隊帳號,在官方專案帳號的評論區發布虛假訊息,引誘用戶點擊釣魚連結。 SlowMist 安全團隊先前分析了這種方法並提供了對策(見,假項目團隊:小心仿冒帳戶評論區的釣魚此外,在官方項目宣佈空投後,黑客很快便會跟上,利用模仿帳戶在社交平台上發布許多包含釣魚鏈接的更新。許多用戶無法辨識假帳戶,最終安裝了欺詐應用程序或打開了釣魚網站,進行了簽名授權操作。
(https://x.com/im23pds/status/1765577919819362702)
- 第三种诈骗方法更糟糕,是经典的诈骗。骗子潜伏在 Web3 项目组中,选择目标用户并进行社交工程攻击。有时,他们会以空投为诱饵,“教”用户如何转移代币以获得空投。用户应保持警惕,不要轻易相信任何联系他们的“官方客服”或声称“教”他们如何操作的人。这些个人很可能是骗子。你可能认为自己只是在领取一个空投,但最终会遭受重大损失。
「免費」空投代幣:了解風險
在加密空間中,空投在用戶通常需要完成特定任務以贏得免費代幣方面很常見。然而,有一些惡意行為利用了這些機會。例如,黑客可能會向用戶空投沒有實際價值的代幣。這些用戶可能會嘗試與這些代幣進行互動——轉移它們、查看它們的價值,甚至在去中心化交易所上進行交易。但是,在對一個詐騙NFT合約進行逆向工程後,我們發現試圖轉移或列出NFT均失敗,並出現錯誤消息:“訪問網站解鎖您的物品”,誤導用戶訪問釣魚網站。
如果用户上当并访问钓鱼网站,黑客可以采取多种有害行动:
- 通過“零成本”機制批量購買有價值的NFT(參見“零成本NFT釣魚"(有关更多详情)。
- 窃取具有高价值的代币批准或签名许可。
- 從使用者錢包中竊取本地資產。
接下來,讓我們看看駭客如何使用精心製作的惡意合約來竊取用戶的 Gas 費用。首先,駭客在 BSC 上創建了一個名為 GPT(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)的惡意合約,使用空投代幣來吸引用戶與之互動。當用戶與這個惡意合約進行互動時,會彈出一個請求,要求批准該合約使用用戶錢包中的代幣。如果用戶批准此請求,該惡意合約會自動根據用戶錢包餘額增加 Gas 限制,導致後續交易消耗更多 Gas 費用。
利用用户提供的高Gas限制,恶意合约使用额外的Gas铸造CHI代币(CHI代币可用于Gas补偿)。在积累了大量的CHI代币之后,黑客可以在合约被销毁时烧毁这些代币以获得Gas补偿。
(https://x.com/SlowMist_Team/status/1640614440294035456)
通過這種方法,黑客巧妙地從用戶的Gas費中獲利,而用戶可能甚至意識不到他們支付了額外的Gas費用。用戶最初以為自己可以通過出售空投的代幣獲利,但最終他們的本地資產被盜。
後門工具
(https://x.com/evilcos/status/1593525621992599552)
在領取空投的過程中,一些用戶需要下載插件來翻譯或查詢代幣的珍稀度等功能。這些插件的安全性是值得懷疑的,一些用戶從非官方來源下載它們,增加了下載後門插件的風險。
此外,我們注意到有在線服務出售自動空投腳本,聲稱可以自動執行大量互動。儘管聽起來很有效,但用戶應該小心,因為下載未經驗證的腳本極其危險。您無法確定腳本的來源或真正功能。它可能包含惡意代碼,可能威脅到私鑰或種子短語,或執行其他未經授權的操作。此外,一些用戶在沒有防病毒軟件的情況下執行這些風險操作,這可能導致未被檢測到的特洛伊木馬感染,從而損害其設備。
摘要
本指南主要通過分析詐騙來解釋索取空投所帶來的風險。現在許多項目都將空投作為市場營銷工具。用戶可以採取以下措施來減少在索取空投過程中資產損失的風險:
- 多重驗證:訪問空投網站時,請仔細檢查網址。通過官方項目帳戶或公告頻道進行確認。您也可以安裝針對釣魚風險的阻擋插件(例如Scam Sniffer)來幫助識別釣魚網站。
- 錢包分段:使用具有少量資金的錢包以進行空投申請,並將大量資金存儲在冷錢包中。
- 小心空投代幣:請謹慎對待來自未知來源的空投代幣。避免匆忙授權或簽署交易。
- 檢查 Gas 限制: 請注意交易的 Gas 限制是否異常高。
- 使用防毒軟件:使用知名的防毒軟件(如卡巴斯基、AVG等)啟用實時保護,並確保病毒定義是最新的。
免責聲明:
- 本文轉載自 SlowMist 技術, 版權屬於原作者[SlowMist安全團隊]。如果對此轉載有異議,請聯繫gate 學習團隊會儘快處理它。
- 免責聲明:本文所表達的觀點和意見僅為作者個人觀點,並不構成任何投資建議。
- Gate Learn 團隊將該文章翻譯成其他語言。 未經許可,禁止複製、分發或剽竊翻譯後的文章。
相關文章
Gate 研究:比特幣反彈 3.5%,以太坊落後,Dinari 和 Pell Network TVL 暴增