在上一期 Web3 安全入門避坑指南中,我們主要講解了多籤釣魚的相關知識,包括多籤機制、造成多籤的原因及如何避免錢包被惡意多籤等內容。本期我們要講解的是一種無論在傳統行業還是加密領域,都被視爲有效的營銷手段 —— 空投。
空投能夠在短時間內將項目從默默無聞推向大衆視野,迅速積累用戶基礎,提升市場影響力。用戶在參與 Web3 項目時,需要點擊相關鏈接、與項目方交互以獲取空投代幣,然而從高仿網站到帶後門的工具,黑客早已在用戶領空投過程的上下遊布滿了陷阱。因此,本期我們將通過分析一些典型的空投騙局來講解相關風險,幫助大家避坑。
Web3 項目方爲了增加項目的知名度和實現初期用戶的積累,常常會免費向特定錢包地址分發代幣,這一行爲被稱爲“空投”。對項目方而言,這是獲得用戶最直接的方式。根據獲取空投的方式,空投通常可以分爲以下幾類:
假空投騙局
此類騙局又可以細分爲以下幾種:
1. 黑客盜取項目方的官方账號發布假空投的消息。我們經常可以在資訊平台上看到“某項目的 X 账號或者 Discord 账號被黑,請廣大用戶不要點擊黑客發布的釣魚鏈接”的安全提醒。據慢霧 2024 上半年區塊鏈安全與反洗錢報告的數據,僅 2024 上半年,項目方账號被黑事件就有 27 件。用戶基於對官方账號的信任而點擊這些鏈接,進而被引導至僞裝成空投的釣魚網站。一旦在釣魚網站上輸入了私鑰/助記詞或授權了相關權限,黑客就能盜走用戶的資產。
2. 黑客使用高仿的項目方账號在項目方官方真實账號的評論區刷留言,發布領取空投的消息,誘導用戶點擊釣魚鏈接。此前慢霧安全團隊分析過這類手法並提出了應對建議,見真假項目方 | 警惕評論區高仿號釣魚;此外,在真項目方發布空投的消息後,黑客也會緊隨其後,在社交平台上使用高仿账號大量發布包含釣魚鏈接的動態,許多用戶因未仔細辨別而安裝了虛假 APP 或打开釣魚網站進行了籤名授權的操作。
(https://x.com/im23pds/status/1765577919819362702)
3. 第三種詐騙套路更可惡,妥妥的騙子,他們潛伏在 Web3 項目的群組裏,挑選目標用戶進行社會工程攻擊,有時以空投爲誘餌,“教”用戶按照要求轉移代幣以獲取空投。請廣大用戶提高警惕,不要輕易相信主動聯系你的“官方客服”或是“教”你如何操作的網友,這些人大概率是騙子,你只是想領個空投,結果卻損失慘重。
“白給”的空投代幣
开篇提到,用戶往往需要完成某種任務才能獲取空投,我們接下來看看“白給“用戶代幣的情況。黑客會向用戶的錢包空投沒有實際價值的代幣,用戶看到這些代幣,可能會嘗試與之交互,例如轉移、查看或在去中心化交易所上進行交易。然而我們逆向分析一個 Scam NFT 的智能合約發現,當嘗試掛單或轉移這個 Scam NFT 時會失敗,然後出現錯誤提示“Visit website to unlock your item”,誘導用戶訪問釣魚網站。
如果用戶訪問了 Scam NFT 引導的釣魚網站,黑客便可能進行以下操作:
接下來我們再看看黑客如何通過一個精心設計的惡意合約竊取用戶的 Gas 費。
首先,黑客在 BSC 上創建了一個名爲 GPT 的惡意合約 (0x513C285CD76884acC377a63DC63A4e83D7D21fb5),通過空投代幣吸引用戶進行交互。
用戶與該惡意合約交互時,出現了需要批准該合約使用錢包中代幣的請求。如果用戶批准了這個請求,惡意合約會根據用戶錢包中的余額,自動提高 Gas 限額,這使得後續的交易消耗更多的 Gas 費。
利用用戶提供的高 Gas 限額,惡意合約使用多余的 Gas 來鑄造 CHI 代幣(CHI 代幣可以用於 Gas 補償)。惡意合約積累了大量的 CHI 代幣後,黑客可以通過燃燒 CHI 代幣,獲得合約銷毀時返還的 Gas 補償。
(https://x.com/SlowMist_Team/status/1640614440294035456)
通過這種方式,黑客巧妙地利用用戶的 Gas 費爲自己牟利,而用戶可能並未察覺到他們已經支付了額外的 Gas 費。用戶本以爲可以通過出售空投代幣獲利,結果卻被盜取了原生資產。
帶後門的工具
領空投的過程中,一些用戶需要下載翻譯或查詢代幣稀有度之類的插件,這些插件的安全性存疑,且有的用戶下載插件時沒有從官方渠道下載,這就使得下載到帶有後門的插件的可能性大大增加。
此外,我們還注意到網上有出售領空投腳本的服務,聲稱可以通過運行腳本完成自動批量交互,聽起來挺高效的,但是請注意,下載未經審查和驗證的腳本存在極大的風險,因爲你無法確定腳本的來源和它的真實功能。腳本可能包含惡意代碼,潛在的威脅包括盜取私鑰/助記詞或者執行其他未授權的操作。而且,一些用戶在執行相關類型的風險操作時,未安裝或是關閉了殺毒軟件,導致未能及時發現設備中了木馬,進而受損。
海量資訊、精准解讀,盡在新浪財經APP
責任編輯:張靖笛
標題:Web3 安全入門避坑指南|空投騙局
地址:https://www.utechfun.com/post/410926.html