什么是空投

在加密行业中，项目方为了提高项目知名度并完成初期用户积累，常常会给用户免费赠送一部分项目代币，这一行为被称为“空投”。根据获取空投的方式，常见的空投通常可以分为任务性空投、内容交互空投、持有者空投和质押类空投。空投是加密货币行业广泛使用的营销策略，项目方会通过空投将其代币发放给一些满足条件的用户，以增加对新代币的认知度和推广。

空投常见骗局种类

虚假空投

一些高级的黑客可以做到盗取项目方的官方账号进行虚假空投，我们经常可以在资讯平台上看到“某项目的 X 账号被黑，请广大用户不要点击黑客发布的钓鱼链接”的安全提醒。据统计，仅 2024 上半年，项目方账号被黑事件就发生了 27 起。不知情用户往往会出于对官方账号的信任而不怀疑其真实性，导致上当受骗。
此外，诈骗团队还会利用高仿账号在官方账号的评论区发布虚假信息，诱导用户参与领取虚假空投。有时在官方发布空投消息后，高仿账号会立刻跟进，大量发布包含钓鱼链接的动态，引诱用户点击。一旦用户在钓鱼网站上输入私钥或授权相关权限，他们的资产可能会面临被盗取的风险。

来源：Ray80230

私钥泄露

私钥是一串用于控制加密资产的字符，任何拥有私钥的人都能完全控制相应的加密资产。一旦私钥泄漏，攻击者便可以未经授权地访问、转移和管理用户的资产，导致用户遭受经济损失。
很多诈骗团队会潜伏在 Web3 项目的群组中，挑选目标用户以教学“撸空投”为诱饵，诱导用户下载木马软件从而盗取私钥，这类软件的形式包括但不限于：挖矿脚本、游戏、会议软件、土狗脚本、空投机器人等等。
除此之外，部分诈骗团队还会建立虚假社群或是在官方社群中假冒客服，主动联系用户，以教学为由引导用户泄露私钥。

WoAS_Necksus

天降馅饼

在多数项目中，用户往往需要满足部分条件才能获取空投，但偶尔也会出现“天降馅饼”的情况，此时极大概率是诈骗团队抛来的诱饵。
一些诈骗团队会向用户的钱包空投没有实际价值的代币，用户在钱包中看到这些代币后，大概率会以为是天降馅饼并尝试与之交互。但由于这些代币往往在正规平台无法查询，用户为了兑现，会找到所谓的项目官网。用户按照官网提示连接钱包进行授权后，本以为可以出售这些代币，但一旦授权，钱包里的所有资产都会被立即盗走。

来源：RallyHarry24

恶意合约

在空投活动中，诈骗团伙可能会创建看似诱人的空投合约，吸引用户参与。一旦用户与这些恶意合约进行交互，合约可能会利用用户钱包中的资产信息，自动调整 Gas 限额，导致用户支付更多 Gas 费用，且很难被及时察觉。

来源：misttrack

相似地址

由于许多用户转账会习惯性通过交易历史转账，且交易钱包地址较长，用户大多只会核对首尾。诈骗团队会通过地址碰撞生成和用户某关联地址首尾若干位相同的地址，对近期转账较为频繁的用户进行0金额转账或极小额转账，污染用户交易历史，期望用户后续转账从交易历史拷贝错误地址。

来源：misttrack

防骗指南

尽管在正规交易所平台上，大多会配备安全技术以保障用户交易安全，如异常检测和入侵检测、不明网址识别、自动化威胁响应等等。但空投项目鱼龙混杂，部分项目并未上线正规交易所平台，且参与空投往往需要使用多种工具，链上交互频率较高，接触风险的概率较大。因此，在参与空投的过程中，用户可以注意以下几点，以保护资产安全。

钱包安全

在进行加密货币相关交易时，无论在什么情况下都一定要确保钱包私钥或助记词不被泄露。用户可以将钱包私钥和助记词备份在安全的地方，如离线存储或加密存储，切勿在不明情况下输入私钥和助记词。

钱包分离

为了降低风险，建议开通单独小额钱包用于空投，不要将所有资产都存放在同一个钱包中。根据资产的类型和用途，用户可以选择合适的钱包类型，比如硬件钱包、软件钱包、冷钱包以及热钱包等。另外，对于管理大额资产，可以考虑使用多签名钱包来提高安全性。
除此之外，用户还可以进行操作环境的分离，在具备多设备的条件下，用户可以使用不同设备管理不同钱包，防止一个设备的安全问题影响所有钱包。

防范钓鱼

在访问空投网站时，建议用户可以通过项目的官方账号或公告渠道确认网址正确。在安装软件时请从官方渠道下载，检查软件下载来源，避免来自第三方网站的安装包。除此之外还可以安装防钓鱼插件和防病毒软件，协助识别和监控钓鱼网站记录。