Фон

В нашем предыдущем руководстве по безопасности Web3 мы рассмотрели тему мультиподписного рыбачества, обсудивмеханика мультисиг-кошелькови как их эксплуатируют злоумышленники и как защитить свой кошелек от вредоносных подписей. В этой части мы рассмотрим широко используемую маркетинговую тактику как в традиционной, так и в криптовалютной индустрии - аирдропы.

Аирдропы могут быстро вывести проект из безвестности в центр внимания, помогая ему быстро создать пользовательскую базу и повысить узнаваемость на рынке. Как правило, пользователи участвуют в проектах Web3, переходя по ссылкам и взаимодействуя с проектом, чтобы получить токены. Тем не менее, от поддельных веб-сайтов до инструментов, пронизанных бэкдорами, хакеры расставляли ловушки на протяжении всего процесса аирдропа. В этом руководстве мы проанализируем распространенные виды мошенничества с аирдропами, чтобы помочь вам избежать этих ловушек.

Что такое Аирдроп?

Аирдроп происходит, когда проект Web3 распространяет бесплатные токены на конкретные адреса кошельков, чтобы увеличить его видимость и привлечь ранних пользователей. Это один из самых прямых методов для проектов, чтобы получить пользовательскую базу. Аирдропы обычно можно классифицировать следующим образом в зависимости от того, как они получаются:

• Таск-ориентированный: выполнение задач, указанных проектом, таких как обмен контентом или лайк постов.

• Взаимодействие на основе: выполнение действий, таких как обмен токенами, отправка/получение токенов или кросс-чейн операции.

• На основе удержания: удержание указанных токенов проекта для участия в аирдропе.

• Стейкинг на основе: Заработок токенов, полученных в ходе аирдропа через стейкинг одного или двух активов, предоставление ликвидности или долгосрочная блокировка токенов.

Риски при получении аирдропов

Фейковые Аирдропы

Эти виды мошенничества можно разделить на несколько видов:

1. Взломанные официальные учетные записи: Хакеры могут получить контроль над официальной учетной записью проекта и размещать фальшивые объявления об аирдропе. Например, часто можно увидеть предупреждения на новостных платформах типа «Аккаунт X или Discord проекта Y был взломан; не переходите по ссылкам на рыбные сайты, распространяемые хакером». Согласно нашему отчету о безопасности блокчейна и противодействии отмыванию денег за первое полугодие 2024 года, за этот период произошло 27 подобных инцидентов. Пользователи, доверяя официальной учетной записи, могут переходить по этим ссылкам и оказываться на рыбных сайтах, замаскированных под страницы аирдропов. Если они вводят свои приватные ключи, сид-фразы или предоставляют разрешения, хакеры могут украсть их активы.

1. Подделка в разделах комментариев: Хакеры часто создают фейковые аккаунты проектов и размещают комментарии на страницах социальных медиа реальных проектов, утверждая, что предлагают аирдропы. Пользователи, которые не осторожны, могут переходить по этим ссылкам на фишинговые сайты. Например, команда по безопасности SlowMist ранее анализировала эти тактики и давала рекомендации в статье под названием «Остерегайтесь подделки в разделах комментариев». Кроме того, после объявления о легитимном аирдропе хакеры быстро отвечают, размещая фишинговые ссылки с использованием фейковых аккаунтов, которые напоминают официальные. Многие пользователи были обмануты и установили вредоносные приложения или подписали транзакции на фишинговых сайтах.

1. Атаки социальной инженерии: в некоторых случаях мошенники проникают в группы проектов Web3, нацеливаются на конкретных пользователей и используют методы социальной инженерии, чтобы обмануть их. Они могут выдавать себя за сотрудников службы поддержки или полезных членов сообщества, предлагая провести пользователей через процесс получения аирдропа, только для того, чтобы украсть их активы. Пользователи должны сохранять бдительность и не доверять непрошенным предложениям помощи от лиц, выдающих себя за официальных представителей.

Токены "бесплатного" аирдропа

В то время как большинство аирдропов требуют, чтобы пользователи выполняли задания, бывают случаи, когда токены появляются в вашем кошельке без каких-либо действий с вашей стороны. Хакеры часто сбрасывают бесполезные токены на ваш кошелек, надеясь, что вы будете взаимодействовать с ними, передавая, просматривая или пытаясь торговать ими на децентрализованной бирже. Однако при попытке взаимодействия с этими мошенническими NFT вы можете столкнуться с сообщением об ошибке, предлагающим вам посетить веб-сайт, чтобы «разблокировать свой предмет». Это ловушка, которая ведет на фишинговый сайт.

Если пользователь посетит фишинговый сайт, связанный с мошенническим NFT, злоумышленник может выполнить следующие действия:

• Проведите "нулевую стоимость покупки" ценных NFT (см. анализ фишинга NFT "нулевой стоимости покупки").

• Кража токенов высокой ценности через авторизацию Approve или подписи Permit.

• Заберите родные активы.

Теперь давайте рассмотрим, как хакеры могут украсть плату за газ у пользователей с помощью тщательно разработанного вредоносного контракта.

Сначала хакер создал вредоносный контракт с названием GPT на Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) и соблазнил пользователей взаимодействовать с ним, распространяя токены через аирдроп.

Когда пользователи взаимодействуют с этим вредоносным контрактом, им предлагается одобрить использование токенов в их кошельке контрактом. Если пользователь одобряет этот запрос, вредоносный контракт автоматически увеличивает лимит газа на основе баланса кошелька пользователя, что приводит к большему расходу газа в последующих транзакциях.

Используя высокий лимит газа, предоставленный пользователем, вредоносный контракт использует избыток газа для чеканки токенов CHI (токены CHI могут быть использованы для компенсации газа). Накопив большое количество токенов CHI, хакер может сжечь эти токены, чтобы получить возврат газа при уничтожении контракта.

https://x.com/SlowMist_Team/status/1640614440294035456

Через этот метод хакер хитро получает прибыль от комиссий за газ от пользователя, в то время как пользователь может быть не в курсе того, что заплатил дополнительные комиссии за газ. Пользователь изначально ожидал получить прибыль от продажи аирдроп-токенов, но вместо этого потерял свои собственные активы.

Инструменты для взлома

https://x.com/evilcos/status/1593525621992599552

В процессе получения аирдропов некоторым пользователям необходимо загрузить плагины для выполнения задач, таких как перевод или проверка редкости токенов. Однако безопасность этих плагинов вызывает сомнения, и некоторые пользователи не загружают их из официальных источников, что значительно увеличивает риск загрузки плагинов с задними дверями.

Кроме того, мы заметили онлайн-сервисы, которые продают скрипты для получения аирдропов, утверждая, что эффективно автоматизируют пакетное взаимодействие. Тем не менее, имейте в виду, что загрузка и запуск непроверенных и непроверенных скриптов чрезвычайно рискованны, так как вы не можете быть уверены в исходном коде скрипта или его фактических функциях. Эти скрипты могут содержать вредоносный код, представляющий потенциальные угрозы, такие как кража закрытых ключей или seed-фраз или выполнение других несанкционированных действий. Более того, у некоторых пользователей, участвующих в таких рискованных операциях, либо не установлено антивирусное программное обеспечение, либо оно отключено, что может помешать им обнаружить, было ли их устройство скомпрометировано вредоносным ПО, что приводит к дальнейшему повреждению.

Вывод

В данном руководстве мы рассмотрели различные риски, связанные с получением аирдропов, анализируя общие тактики мошенников. Aирдропы являются популярной маркетинговой стратегией, но пользователи могут снизить риск потери активов в процессе, соблюдая следующие меры предосторожности:

• Тщательно проверьте: всегда дважды проверяйте URL-адреса, когда посещаете веб-сайты раздач. Подтвердите их через официальные аккаунты или объявления и рассмотрите возможность установки плагинов для обнаружения риска фишинга, таких как Scam Sniffer.

• Используйте SegreGated кошельки: Храните только небольшие суммы средств на кошельках, используемых для Airdrop, а более крупные суммы храните в холодном кошельке.

• Будьте осторожны с неизвестными Airdrop: Не взаимодействуйте и не утверждайте транзакции, связанные с токенами Airdrop из неизвестных источников.

• Проверьте лимит газа: всегда проверяйте лимит газа перед подтверждением транзакции, особенно если он кажется необычно высоким.

• Используйте надежное антивирусное программное обеспечение: Для блокировки последних угроз настройте постоянную защиту и регулярно обновляйте антивирусное программное обеспечение.

Отказ от ответственности：

1. Эта статья взята из [SunSec], Все авторские права принадлежат оригинальному автору [SlowMist]. Если есть возражения против этой перепечатки, пожалуйста, свяжитесь с Gate Learnкоманда и они оперативно разберутся с этим.
2. Ответственность за отказ: Взгляды и мнения, выраженные в этой статье, являются исключительно мнением автора и не являются инвестиционными советами.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.