背景

在我們之前的Web3安全指南中，討論了多簽釣魚(yú)攻擊，介紹了多簽錢(qián)包的工作原理、攻擊者如何利用它們以及如何保護(hù)您的錢(qián)包免受惡意簽名的侵害。在本期指南中，我們將探討一個(gè)在傳統(tǒng)行業(yè)和加密行業(yè)中廣泛使用的營(yíng)銷策略——空投。

空投可以迅速將一個(gè)不知名的項(xiàng)目變成眾人關(guān)注的項(xiàng)目，幫助其快速建立用戶基礎(chǔ)并提升市場(chǎng)知名度。通常，用戶要訪問(wèn)鏈接并與項(xiàng)目互動(dòng)才能領(lǐng)取空投的代幣。然而，從偽造網(wǎng)站到隱藏后門(mén)的工具，黑客在空投過(guò)程中設(shè)下了各種陷阱。本指南將分析常見(jiàn)的空投騙 局，幫助您避開(kāi)這些陷阱。

什么是空投？

空投是指Web3項(xiàng)目向特定錢(qián)包地址分發(fā)免費(fèi)代幣，以提高項(xiàng)目的知名度并吸引早期用戶。這是項(xiàng)目獲取用戶基礎(chǔ)的最直接方法之一。根據(jù)領(lǐng)取方式，空投通常分為以下幾類：

• 任務(wù)型：完成項(xiàng)目指定的任務(wù)，如分享內(nèi)容或點(diǎn)贊帖子。
• 交互型：進(jìn)行代幣交換、發(fā)送/接收代幣或跨鏈操作等。
• 持有型：持有項(xiàng)目指定的代幣，符合空投資格。
• 質(zhì)押型：通過(guò)單資產(chǎn)或雙資產(chǎn)質(zhì)押、提供流動(dòng)性或長(zhǎng)期鎖倉(cāng)賺取空投代幣。

領(lǐng)取空投的風(fēng)險(xiǎn)

虛假空投騙 局

這些騙 局可以分為幾類：

1.官方賬戶被劫持：

黑客可能會(huì)控制項(xiàng)目的官方賬戶并發(fā)布虛假空投 公告。例如，常見(jiàn)的情況是新聞平臺(tái)上出現(xiàn)“項(xiàng)目X的Twitter或Discord賬號(hào)被黑，不要點(diǎn)擊黑客分享的釣魚(yú)鏈接”的警告。我們的2024年上半年區(qū)塊鏈安全與反洗錢(qián)報(bào)告顯示，2024年上半年就發(fā)生了27起此類事件。用戶出于對(duì)官方賬戶的信任，可能會(huì)點(diǎn)擊這些鏈接，進(jìn)而被重定向到偽裝成空投頁(yè)面的釣魚(yú)網(wǎng)站。如果他們輸入了私鑰、助記詞或授予了權(quán)限，黑客便能竊取其資產(chǎn)。

2.評(píng)論區(qū)的假冒行為：

黑客經(jīng)常創(chuàng)建假的項(xiàng)目賬號(hào)，在真實(shí)項(xiàng)目的社交媒體渠道的評(píng)論區(qū)發(fā)布假冒空投的消息。放松警惕的用戶可能會(huì)訪問(wèn)這些鏈接，進(jìn)入釣魚(yú)網(wǎng)站。例如，慢霧（SlowMist）安全團(tuán)隊(duì)曾分析過(guò)這種手法，并在一篇名為《警惕評(píng)論區(qū)假冒行為》的文章中提供了建議。此外，在合法空投宣布后，黑客會(huì)迅速使用與官方賬號(hào)相似的假賬號(hào)發(fā)布釣魚(yú)鏈接，許多用戶因此被騙，安裝了惡意應(yīng)用或在釣魚(yú)網(wǎng)站上簽署了交易。

3.社會(huì)工程攻擊：

在某些情況下，騙子會(huì)滲透進(jìn)Web3項(xiàng)目群，針對(duì)特定用戶，使用社會(huì)工程技術(shù)欺騙他們。他們可能假扮成支持人員或熱心的社區(qū)成員，聲稱可以引導(dǎo)用戶領(lǐng)取空投，但實(shí)際目的是竊取他們的資產(chǎn)。用戶應(yīng)保持警惕，不要輕信任何自稱為官方代表的陌生人提供的幫助。

4.“免費(fèi)”空投代幣

雖然大多數(shù)空投要求用戶完成任務(wù)，但也有一些情況是代幣會(huì)在用戶未采取任何行動(dòng)的情況下出現(xiàn)在錢(qián)包中。黑客經(jīng)常向用戶錢(qián)包空投毫無(wú)價(jià)值的代幣，誘使用戶與這些代幣交互，比如轉(zhuǎn)移、查看或嘗試在去中心化交易所交易這些代幣。然而，當(dāng)你試圖與這些騙 局NFT交互時(shí)，就可能會(huì)遇到錯(cuò)誤信息，提示你訪問(wèn)某個(gè)網(wǎng)站才能“解鎖你的物品”。這其實(shí)是通往釣魚(yú)網(wǎng)站的陷阱。

如果用戶訪問(wèn)詐 騙 NFT 鏈接的釣魚(yú)網(wǎng)站，黑客可能會(huì)執(zhí)行以下操作：

• “零成本購(gòu)買(mǎi)”有價(jià)值的 NFT（參考“零成本購(gòu)買(mǎi)”NFT 釣魚(yú)分析）。

• 通過(guò)批準(zhǔn)（Approve）授權(quán)或許可（Permit）簽名竊取高價(jià)值代幣。

• 拿走原生資產(chǎn)。

接下來(lái)我們來(lái)看看黑客是如何精心謀劃惡意合約用于竊取用戶的gas費(fèi)的。

首先，黑客在幣安智能鏈（BSC）（0x513C285CD76884acC377a63DC63A4e83D7D21fb5）上創(chuàng)建了名為GPT的惡意合約，并通過(guò)空投代幣引誘用戶與之交互。

當(dāng)用戶與此惡意合約交互時(shí)，系統(tǒng)會(huì)提示他們批準(zhǔn)該合約在其錢(qián)包中使用代幣。如果用戶批準(zhǔn)此請(qǐng)求，惡意合約會(huì)根據(jù)用戶的錢(qián)包余額自動(dòng)增加gas限額，導(dǎo)致后續(xù)交易中的gas消耗更高。

通過(guò)利用用戶提供的高gas限額，惡意合約使用多余的gas來(lái)鑄造CHI代幣（CHI代幣可用于gas補(bǔ)償）。積累大量CHI代幣后，黑客可以在合約被銷毀時(shí)銷毀這些代幣以獲得Gas退款。

https://x.com/SlowMist_Team/status/1640614440294035456

通過(guò)這種方式，黑客巧妙地從用戶的gas費(fèi)中獲利，而用戶可能不知道自己已經(jīng)支付了額外的gas費(fèi)。用戶最初希望通過(guò)出售空投的代幣來(lái)獲利，但最終卻失去了自己的原生資產(chǎn)。

后門(mén)工具

https://x.com/evilcos/status/1593525621992599552

在領(lǐng)取空投的過(guò)程中，部分用戶需要下載插件來(lái)完成轉(zhuǎn)化、查看代幣稀有度等任務(wù)。但這些插件的安全性值得懷疑，部分用戶并不從官方渠道下載，大大增加了下載帶有后門(mén)插件的風(fēng)險(xiǎn)。

此外，我們注意到在線服務(wù)出售用于領(lǐng)取空投的腳本，聲稱可以有效地自動(dòng)化批量交互。但是，請(qǐng)注意，下載和運(yùn)行未經(jīng)驗(yàn)證和未經(jīng)審查的腳本是非常危險(xiǎn)的，因?yàn)槟鸁o(wú)法確定腳本的來(lái)源或其實(shí)際功能。這些腳本可能包含惡意代碼，構(gòu)成潛在威脅，例如竊取私鑰或助記詞，或執(zhí)行其他未經(jīng)授權(quán)的操作。此外，一些用戶在進(jìn)行此類危險(xiǎn)操作時(shí)，要么沒(méi)有安裝防病毒軟件，要么已禁用防病毒軟件，這可能會(huì)阻止這些軟件檢測(cè)自己的設(shè)備是否已被惡意軟件破壞，從而導(dǎo)致進(jìn)一步的損害。

結(jié)語(yǔ)

在本指南中，我們通過(guò)分析常見(jiàn)的詐 騙策略，強(qiáng)調(diào)了與領(lǐng)取空投相關(guān)的各種風(fēng)險(xiǎn)?？胀妒且环N流行的營(yíng)銷策略，但用戶可以通過(guò)采取以下預(yù)防措施來(lái)降低在此過(guò)程中資產(chǎn)損失的風(fēng)險(xiǎn)：

• 全面驗(yàn)證：訪問(wèn)空投網(wǎng)站時(shí)務(wù)必仔細(xì)檢查 URL。通過(guò)官方賬號(hào)或公告確認(rèn)，并考慮安裝Scam Sniffer等釣魚(yú)風(fēng)險(xiǎn)檢測(cè)插件。

• 使用隔離錢(qián)包：僅將少量資金存放在用于空投的錢(qián)包中，同時(shí)將大量資金存放在冷錢(qián)包中。

• 謹(jǐn)慎對(duì)待未知空投：不要參與或批準(zhǔn)涉及來(lái)源不明的空投代幣的交易。

• 檢查 Gas 限制：在確認(rèn)交易之前，請(qǐng)務(wù)必檢查 Gas 限制，尤其是當(dāng)它看起來(lái)異常高時(shí)。

• 使用信譽(yù)良好的防病毒軟件：?jiǎn)⒂脤?shí)時(shí)保護(hù)并定期更新防病毒軟件，以確保阻止最新威脅。

你可能感興趣的文章

• 

  幣圈新手如何避免詐 騙？八種最常見(jiàn)的虛擬貨幣詐 騙手法

  隨著加密貨幣興起，許多詐騙集團(tuán)開(kāi)始把目標(biāo)轉(zhuǎn)向幣圈，相信你也時(shí)常在新聞上看見(jiàn)相關(guān)詐 騙案件發(fā)生,那么，如何預(yù)防加密貨幣詐 騙？本文將為大家匯總八種最常見(jiàn)的虛擬貨幣詐 …

  2024-09-13
• 

  一個(gè)老站長(zhǎng)推薦的寶典：新手初入加密世界之投資指南

  很多新手剛進(jìn)入幣圈，都不知道如何投資，本文為大家分享一位老站長(zhǎng)的加密貨幣投資寶典，通過(guò)下文讓初入加密世界的你，都能搞懂如何投資加密貨幣，并附上加密貨幣注冊(cè)，賣(mài)幣…

  2024-09-13
• 

  新手指南：ICO是什么？新手如何判斷ICO項(xiàng)目？

  ICO是一種募資的手段，可以是眾籌或是私人的形式,ICO中，企業(yè)或個(gè)人可以發(fā)行加密貨幣，以代幣的形式向大眾換取換取法定貨幣或其他大型穩(wěn)健的加密貨幣，那么究竟ICO是什么？…

  2024-07-12
• 

  Web3新手必備：我的比特幣為什么有多種地址？

  Bitcoin社區(qū)是一個(gè)技術(shù)不斷發(fā)展的社區(qū)，技術(shù)的發(fā)展產(chǎn)生新的內(nèi)容,不同的地址格式可以認(rèn)為是新技術(shù)應(yīng)用的結(jié)果,接下來(lái)探索一下不同地址格式的區(qū)別是什么…

  2024-05-24
• 

  進(jìn)入幣圈需要了解什么？進(jìn)入幣圈要哪些技能？

  隨著加密貨幣和區(qū)塊鏈技術(shù)的不斷發(fā)展，幣圈已經(jīng)成為一個(gè)備受關(guān)注的領(lǐng)域,但是對(duì)于新手來(lái)說(shuō)，幣圈的世界可能有些神秘和復(fù)雜,那么，進(jìn)入幣圈需要了解什么？進(jìn)入幣圈要哪些技能…

  2024-02-05
• 

  Web3新人必讀指南:零基礎(chǔ)如何入門(mén)Web3.0

  Web3作為一種新興技術(shù)，涉及到加密貨幣、智能合約、去中心化應(yīng)用（DApps）等多個(gè)領(lǐng)域,在這份必讀指南中，我們篩選出了Web3重點(diǎn)領(lǐng)域的必讀內(nèi)容，幫助零基礎(chǔ)新人快速入門(mén)…

  2024-01-10
• 

  新手剛?cè)霂湃θ绾伪芸樱拷o幣圈新人炒幣的幾點(diǎn)建議

  新手剛?cè)霂湃θ绾伪芸?？本文將為你提供一個(gè)幣圈新人避坑指南，給幣圈新人炒幣的幾點(diǎn)建議，如果你是新手，不妨參考一下…

  2024-09-09
• 

  新手指南：在加密市場(chǎng)從零賺取第一桶金的8個(gè)方法

  在一般人的認(rèn)知中，加密貨幣投資需要數(shù)千美元的啟動(dòng)資金,其實(shí)不一定，甚至有可能從0 美元開(kāi)始賺錢(qián),本文將展示8 種從0 開(kāi)始的方法…

  2024-08-22
• 

  新手指南：加密貨幣交易的10個(gè)最佳技術(shù)指標(biāo)

  在2024年加密貨幣交易的動(dòng)態(tài)領(lǐng)域中，利用精確而強(qiáng)大的分析工具對(duì)于駕馭市場(chǎng)波動(dòng)和預(yù)測(cè)價(jià)格趨勢(shì)至關(guān)重要,技術(shù)指標(biāo)通過(guò)分析過(guò)去的市場(chǎng)數(shù)據(jù)在預(yù)測(cè)未來(lái)價(jià)格走勢(shì)方面發(fā)揮著至關(guān)…

  2024-07-24
• 

  新手指南：2024年最值得投資的頂級(jí)加密貨幣推薦

  對(duì)于新手來(lái)說(shuō)，進(jìn)入幣圈最大的疑問(wèn)，便是投資哪個(gè)加密貨幣的問(wèn)題，加密市場(chǎng)的幣種千千萬(wàn)，該如何選擇，確實(shí)讓人頭痛，下文將為新手投資者推薦2024年最值得投資的頂級(jí)加密貨…

  2024-07-24