背景
在我們之前的Web3安全指南中,討論瞭多簽釣魚攻擊,介紹瞭多簽錢包的工作原理、攻擊者如何利用它們以及如何保護您的錢包免受惡意簽名的侵害。在本期指南中,我們將探討一個在傳統行業和加密行業中廣泛使用的營銷策略——空投。
空投可以迅速將一個不知名的項目變成眾人關註的項目,幫助其快速建立用戶基礎並提升市場知名度。通常,用戶要訪問鏈接並與項目互動才能領取空投的代幣。然而,從偽造網站到隱藏後門的工具,黑客在空投過程中設下瞭各種陷阱。本指南將分析常見的空投騙 局,幫助您避開這些陷阱。
什麼是空投?
空投是指Web3項目向特定錢包地址分發免費代幣,以提高項目的知名度並吸引早期用戶。這是項目獲取用戶基礎的最直接方法之一。根據領取方式,空投通常分為以下幾類:
- 任務型:完成項目指定的任務,如分享內容或點贊帖子。
- 交互型:進行代幣交換、發送/接收代幣或跨鏈操作等。
- 持有型:持有項目指定的代幣,符合空投資格。
- 質押型:通過單資產或雙資產質押、提供流動性或長期鎖倉賺取空投代幣。
領取空投的風險
虛假空投騙 局
這些騙 局可以分為幾類:
1.官方賬戶被劫持:
黑客可能會控制項目的官方賬戶並發佈虛假空投 公告。例如,常見的情況是新聞平臺上出現“項目X的Twitter或Discord賬號被黑,不要點擊黑客分享的釣魚鏈接”的警告。我們的2024年上半年區塊鏈安全與反洗錢報告顯示,2024年上半年就發生瞭27起此類事件。用戶出於對官方賬戶的信任,可能會點擊這些鏈接,進而被重定向到偽裝成空投頁面的釣魚網站。如果他們輸入瞭私鑰、助記詞或授予瞭權限,黑客便能竊取其資產。
2.評論區的假冒行為:
黑客經常創建假的項目賬號,在真實項目的社交媒體渠道的評論區發佈假冒空投的消息。放松警惕的用戶可能會訪問這些鏈接,進入釣魚網站。例如,慢霧(SlowMist)安全團隊曾分析過這種手法,並在一篇名為《警惕評論區假冒行為》的文章中提供瞭建議。此外,在合法空投宣佈後,黑客會迅速使用與官方賬號相似的假賬號發佈釣魚鏈接,許多用戶因此被騙,安裝瞭惡意應用或在釣魚網站上簽署瞭交易。
3.社會工程攻擊:
在某些情況下,騙子會滲透進Web3項目群,針對特定用戶,使用社會工程技術欺騙他們。他們可能假扮成支持人員或熱心的社區成員,聲稱可以引導用戶領取空投,但實際目的是竊取他們的資產。用戶應保持警惕,不要輕信任何自稱為官方代表的陌生人提供的幫助。
4.“免費”空投代幣
雖然大多數空投要求用戶完成任務,但也有一些情況是代幣會在用戶未采取任何行動的情況下出現在錢包中。黑客經常向用戶錢包空投毫無價值的代幣,誘使用戶與這些代幣交互,比如轉移、查看或嘗試在去中心化交易所交易這些代幣。然而,當你試圖與這些騙 局NFT交互時,就可能會遇到錯誤信息,提示你訪問某個網站才能“解鎖你的物品”。這其實是通往釣魚網站的陷阱。
如果用戶訪問詐 騙 NFT 鏈接的釣魚網站,黑客可能會執行以下操作:
-
“零成本購買”有價值的 NFT(參考“零成本購買”NFT 釣魚分析)。
-
通過批準(Approve)授權或許可(Permit)簽名竊取高價值代幣。
-
拿走原生資產。
接下來我們來看看黑客是如何精心謀劃惡意合約用於竊取用戶的gas費的。
首先,黑客在幣安智能鏈(BSC)(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)上創建瞭名為GPT的惡意合約,並通過空投代幣引誘用戶與之交互。
當用戶與此惡意合約交互時,系統會提示他們批準該合約在其錢包中使用代幣。如果用戶批準此請求,惡意合約會根據用戶的錢包餘額自動增加gas限額,導致後續交易中的gas消耗更高。
通過利用用戶提供的高gas限額,惡意合約使用多餘的gas來鑄造CHI代幣(CHI代幣可用於gas補償)。積累大量CHI代幣後,黑客可以在合約被銷毀時銷毀這些代幣以獲得Gas退款。
https://x.com/SlowMist_Team/status/1640614440294035456
通過這種方式,黑客巧妙地從用戶的gas費中獲利,而用戶可能不知道自己已經支付瞭額外的gas費。用戶最初希望通過出售空投的代幣來獲利,但最終卻失去瞭自己的原生資產。
後門工具
https://x.com/evilcos/status/1593525621992599552
在領取空投的過程中,部分用戶需要下載插件來完成轉化、查看代幣稀有度等任務。但這些插件的安全性值得懷疑,部分用戶並不從官方渠道下載,大大增加瞭下載帶有後門插件的風險。
此外,我們註意到在線服務出售用於領取空投的腳本,聲稱可以有效地自動化批量交互。但是,請註意,下載和運行未經驗證和未經審查的腳本是非常危險的,因為您無法確定腳本的來源或其實際功能。這些腳本可能包含惡意代碼,構成潛在威脅,例如竊取私鑰或助記詞,或執行其他未經授權的操作。此外,一些用戶在進行此類危險操作時,要麼沒有安裝防病毒軟件,要麼已禁用防病毒軟件,這可能會阻止這些軟件檢測自己的設備是否已被惡意軟件破壞,從而導致進一步的損害。
結語
在本指南中,我們通過分析常見的詐 騙策略,強調瞭與領取空投相關的各種風險。空投是一種流行的營銷策略,但用戶可以通過采取以下預防措施來降低在此過程中資產損失的風險:
-
全面驗證:訪問空投網站時務必仔細檢查 URL。通過官方賬號或公告確認,並考慮安裝Scam Sniffer等釣魚風險檢測插件。
-
使用隔離錢包:僅將少量資金存放在用於空投的錢包中,同時將大量資金存放在冷錢包中。
-
謹慎對待未知空投:不要參與或批準涉及來源不明的空投代幣的交易。
-
檢查 Gas 限制:在確認交易之前,請務必檢查 Gas 限制,尤其是當它看起來異常高時。
-
使用信譽良好的防病毒軟件:啟用實時保護並定期更新防病毒軟件,以確保阻止最新威脅。
原创文章,作者:fanbi,如若转载,请注明出处:http://fanbi.net/btc/4012
