当前位置:主页 > 区块链 > 区块链技术 > 空投骗 局指南

新手Web3安全指南:如何避免空投骗 局

2024-09-16 12:33:50 | 来源: | 作者:佚名
空投能迅速将一个不知名的项目变成众人关注的项目,帮助其快速建立用户基础并提升市场知名度,然而,从伪造网站到隐藏后门的工具,黑客在空投过程中设下了各种陷阱,本指南将分析常见的空投骗 局,帮助您避开这些陷阱

背景

在我们之前的Web3安全指南中,讨论了多签钓鱼攻击,介绍了多签钱包的工作原理、攻击者如何利用它们以及如何保护您的钱包免受恶意签名的侵害。在本期指南中,我们将探讨一个在传统行业和加密行业中广泛使用的营销策略——空投。

空投可以迅速将一个不知名的项目变成众人关注的项目,帮助其快速建立用户基础并提升市场知名度。通常,用户要访问链接并与项目互动才能领取空投的代币。然而,从伪造网站到隐藏后门的工具,黑客在空投过程中设下了各种陷阱。本指南将分析常见的空投骗 局,帮助您避开这些陷阱。

什么是空投?

空投是指Web3项目向特定钱包地址分发免费代币,以提高项目的知名度并吸引早期用户。这是项目获取用户基础的最直接方法之一。根据领取方式,空投通常分为以下几类:

  • 任务型:完成项目指定的任务,如分享内容或点赞帖子。
  • 交互型:进行代币交换、发送/接收代币或跨链操作等。
  • 持有型:持有项目指定的代币,符合空投资格。
  • 质押型:通过单资产或双资产质押、提供流动性或长期锁仓赚取空投代币。

领取空投的风险

虚假空投骗 局

这些骗 局可以分为几类:

1.官方账户被劫持

黑客可能会控制项目的官方账户并发布虚假空投 公告。例如,常见的情况是新闻平台上出现“项目X的Twitter或Discord账号被黑,不要点击黑客分享的钓鱼链接”的警告。我们的2024年上半年区块链安全与反洗钱报告显示,2024年上半年就发生了27起此类事件。用户出于对官方账户的信任,可能会点击这些链接,进而被重定向到伪装成空投页面的钓鱼网站。如果他们输入了私钥、助记词或授予了权限,黑客便能窃取其资产。

2.评论区的假冒行为

黑客经常创建假的项目账号,在真实项目的社交媒体渠道的评论区发布假冒空投的消息。放松警惕的用户可能会访问这些链接,进入钓鱼网站。例如,慢雾(SlowMist)安全团队曾分析过这种手法,并在一篇名为《警惕评论区假冒行为》的文章中提供了建议。此外,在合法空投宣布后,黑客会迅速使用与官方账号相似的假账号发布钓鱼链接,许多用户因此被骗,安装了恶意应用或在钓鱼网站上签署了交易。

3.社会工程攻击

在某些情况下,骗子会渗透进Web3项目群,针对特定用户,使用社会工程技术欺骗他们。他们可能假扮成支持人员或热心的社区成员,声称可以引导用户领取空投,但实际目的是窃取他们的资产。用户应保持警惕,不要轻信任何自称为官方代表的陌生人提供的帮助。

4.“免费”空投代币

虽然大多数空投要求用户完成任务,但也有一些情况是代币会在用户未采取任何行动的情况下出现在钱包中。黑客经常向用户钱包空投毫无价值的代币,诱使用户与这些代币交互,比如转移、查看或尝试在去中心化交易所交易这些代币。然而,当你试图与这些骗 局NFT交互时,就可能会遇到错误信息,提示你访问某个网站才能“解锁你的物品”。这其实是通往钓鱼网站的陷阱。

如果用户访问诈 骗 NFT 链接的钓鱼网站,黑客可能会执行以下操作:

  • “零成本购买”有价值的 NFT(参考“零成本购买”NFT 钓鱼分析)。

  • 通过批准(Approve)授权或许可(Permit)签名窃取高价值代币。

  • 拿走原生资产。

接下来我们来看看黑客是如何精心谋划恶意合约用于窃取用户的gas费的。

首先,黑客在币安智能链(BSC)(0x513C285CD76884acC377a63DC63A4e83D7D21fb5)上创建了名为GPT的恶意合约,并通过空投代币引诱用户与之交互。

当用户与此恶意合约交互时,系统会提示他们批准该合约在其钱包中使用代币。如果用户批准此请求,恶意合约会根据用户的钱包余额自动增加gas限额,导致后续交易中的gas消耗更高。

通过利用用户提供的高gas限额,恶意合约使用多余的gas来铸造CHI代币(CHI代币可用于gas补偿)。积累大量CHI代币后,黑客可以在合约被销毁时销毁这些代币以获得Gas退款。

https://x.com/SlowMist_Team/status/1640614440294035456

通过这种方式,黑客巧妙地从用户的gas费中获利,而用户可能不知道自己已经支付了额外的gas费。用户最初希望通过出售空投的代币来获利,但最终却失去了自己的原生资产。

后门工具

https://x.com/evilcos/status/1593525621992599552

在领取空投的过程中,部分用户需要下载插件来完成转化、查看代币稀有度等任务。但这些插件的安全性值得怀疑,部分用户并不从官方渠道下载,大大增加了下载带有后门插件的风险。

此外,我们注意到在线服务出售用于领取空投的脚本,声称可以有效地自动化批量交互。但是,请注意,下载和运行未经验证和未经审查的脚本是非常危险的,因为您无法确定脚本的来源或其实际功能。这些脚本可能包含恶意代码,构成潜在威胁,例如窃取私钥或助记词,或执行其他未经授权的操作。此外,一些用户在进行此类危险操作时,要么没有安装防病毒软件,要么已禁用防病毒软件,这可能会阻止这些软件检测自己的设备是否已被恶意软件破坏,从而导致进一步的损害。

结语

在本指南中,我们通过分析常见的诈 骗策略,强调了与领取空投相关的各种风险。空投是一种流行的营销策略,但用户可以通过采取以下预防措施来降低在此过程中资产损失的风险:

  • 全面验证:访问空投网站时务必仔细检查 URL。通过官方账号或公告确认,并考虑安装Scam Sniffer等钓鱼风险检测插件。

  • 使用隔离钱包:仅将少量资金存放在用于空投的钱包中,同时将大量资金存放在冷钱包中。

  • 谨慎对待未知空投:不要参与或批准涉及来源不明的空投代币的交易。

  • 检查 Gas 限制:在确认交易之前,请务必检查 Gas 限制,尤其是当它看起来异常高时。

  • 使用信誉良好的防病毒软件:启用实时保护并定期更新防病毒软件,以确保阻止最新威胁。

免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表本站观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及本站将不承担任何责任。!
Tag:新手   指南  

你可能感兴趣的文章

更多

热门币种

  • 币名
    最新价格
    24H涨幅
  • bitcoin BTC 比特币

    BTC

    比特币

    $ 67310.02¥ 464842.99
    -0.77%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 1953.76¥ 13492.66
    -1.43%
  • tether USDT 泰达币

    USDT

    泰达币

    $ 1.0003¥ 6.908
    +0.01%
  • binance-coin BNB 币安币

    BNB

    币安币

    $ 619.78¥ 4280.2
    -1.24%
  • ripple XRP 瑞波币

    XRP

    瑞波币

    $ 1.3596¥ 9.3893
    -0.58%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 0.9995¥ 6.9025
    -0.03%
  • solana SOL Solana

    SOL

    Solana

    $ 82.8429¥ 572.11
    -1.68%
  • tron TRX 波场

    TRX

    波场

    $ 0.2865¥ 1.9785
    +1.02%
  • dogecoin DOGE 狗狗币

    DOGE

    狗狗币

    $ 0.08928¥ 0.6165
    -1.42%
  • cardano ADA 艾达币

    ADA

    艾达币

    $ 0.2523¥ 1.7423
    -2.36%

币圈快讯

  • 特朗普主导美国监管绕过巴塞尔协议发展代币化证券大型金融机构从中获利受益

    2026-03-08 16:23
    据福布斯报道,特朗普主导下的美国金融监管机构认为没有必要遵守巴塞尔协议对加密资产的处理方式,而应为代币化资产提供技术中立的监管策略,因此正在绕过巴塞尔协议推动代币化证券发展。目前巴塞尔银行监管委员会对加密资产风险敞口标准极为严格,不合规的金融机构将被施加高达1250%的风险权重,但美国联邦存款保险公司(FDIC)、美联储和美国货币监理署(OCC)发布关于代币化证券资本处理的常见问题解答(FAQ)时却采取“美国优先”策略,赋予代币化证券与其非代币化对应物“相同法律权利”的证券应享有同等待遇,纽约证券交易所(NYSE)、高盛、纳斯达克、DTCC、贝莱德、纽约梅隆银行、花旗集团和摩根大通均因此受益,启动了代币化股票、基金和存款的试点项目或平台,未来可能成为这一领域的“最大赢家”。

  • 福布斯:美国监管打破巴塞尔协议发展代币化证券高盛、NYSE等机构成“最大赢家”

    2026-03-08 16:23
    福布斯刊文指出,特朗普主导下的美国金融监管机构认为没有必要遵守巴塞尔协议对加密资产的处理方式,而应为代币化资产提供技术中立的监管策略,因此正在绕过巴塞尔协议推动代币化证券发展。目前巴塞尔银行监管委员会对加密资产风险敞口标准极为严格,不合规的金融机构将被施加高达1250%的风险权重,但美国联邦存款保险公司(FDIC)、美联储和美国货币监理署(OCC)发布关于代币化证券资本处理的常见问题解答(FAQ)时却采取“美国优先”策略,赋予代币化证券与其非代币化对应物“相同法律权利”的证券应享有同等待遇,纽约证券交易所(NYSE)、高盛、纳斯达克、DTCC、贝莱德、纽约梅隆银行、花旗集团和摩根大通均因此受益,启动了代币化股票、基金和存款的试点项目或平台,未来可能成为这一领域的“最大赢家”。

  • 某巨鲸清仓4790枚ETH亏损12.5万美元

    2026-03-08 16:22
    据链上分析师Ai姨监测,地址(0x6ba13a...8468)三周前以均价1971.98美元从币安提取4790.33枚ETH(约944.6万美元),持仓三周后于3小时前以1945.85美元充值回币安,导致亏损约12.5万美元。该地址在2023年3月5日曾一度浮盈约99.8万美元。

  • AI代理近9个月内完成1.4亿笔支付USDC交易量占比98.6%

    2026-03-08 16:01
    Circle全球市场负责人PeterSchroeder日前在X平台援引EnterpriseOnchain文章表示,过去九个月,AI代理之间完成了1.4亿笔支付,累计交易额4300万美元,其中98.6%以USDC结算,平均每笔交易0.31美元。拥有购买能力的AI代理数量超40万个。

  • ETH当前全网8小时平均资金费率为-0.0038%

    2026-03-08 16:00
    据Coinglass数据显示,ETH当前全网8小时平均资金费率为-0.0038%。当前主流交易所中,Binance费率为-0.0088%,OKX费率为-0.005%,Bybit费率为-0.007%,Gate费率为-0.003%。
    • 查看更多

区块链百科

最新资讯

更多