W świecie kryptowalut, zdecentralizowanych finansów (defi) i Web3, airdropy stały się w branży codziennością. Jednakże, chociaż zrzuty wyglądają jak darmowe pieniądze, obserwuje się rosnącą tendencję do oszustw typu phishing z wykorzystaniem zrzutów, które kradną pieniądze ludzi, gdy próbują zdobyć tak zwane „darmowe” aktywa kryptograficzne. Poniżej przedstawiono dwa różne sposoby, w jakie napastnicy wykorzystują oszustwa phishingowe typu „airdrop” w celu kradzieży środków oraz sposoby ochrony.
Airdropy nie zawsze oznaczają „darmowe kryptowaluty” — wiele promocji zrzutów ma na celu Cię okraść
Airdropy są synonimem bezpłatnych funduszy kryptograficznych do tego stopnia, że powszechne stało się rosnące oszustwo kryptograficzne zwane phishingiem typu airdrop. Jeśli jesteś członkiem społeczności kryptowalut i korzystasz z platform mediów społecznościowych, takich jak Twitter czy Facebook, prawdopodobnie widziałeś wiele postów spamowych reklamujących wszelkiego rodzaju zrzuty.
Zwykle popularne konto kryptograficzne na Twitterze zamieszcza tweet, po którym pojawia się mnóstwo oszustów reklamujących próby phishingu metodą airdrop i mnóstwo kont twierdzących, że otrzymali darmowe pieniądze. Większość ludzi nie da się nabrać na te oszustwa związane ze zrzutami, ale ponieważ zrzuty są uważane za darmowe kryptowaluty, była grupa osób, które straciły fundusze, padając ofiarą tego typu ataków.
Pierwszy atak wykorzystuje tę samą metodę reklamy w mediach społecznościowych, ponieważ wiele osób lub botów podszywa się pod link prowadzący do strony internetowej zawierającej oszustwa typu phishing typu airdrop. Podejrzana witryna może wyglądać bardzo wiarygodnie i nawet kopiować niektóre elementy z popularnych projektów Web3, ale ostatecznie oszuści chcą ukraść fundusze. Oszustwem związanym z darmowym zrzutem powietrza może być nieznany token kryptograficzny lub może to być również popularny istniejący zasób cyfrowy, np BTC, ETH., SHIB, DOGE i inne.
Pierwszy atak zwykle pokazuje, że zrzut jest możliwy do odebrania, ale osoba musi użyć kompatybilnego portfela Web3, aby odzyskać tak zwane „darmowe” środki. Witryna będzie prowadzić do strony przedstawiającej wszystkie popularne portfele Web3, takie jak Metamask i inne, ale tym razem po kliknięciu łącza do portfela pojawi się błąd i witryna poprosi użytkownika o podanie frazy początkowej.
Aby uzyskać pomoc, otwórz MetaMask i przejdź do „Wsparcie” lub „Uzyskaj pomoc” w menu rozwijanym. Nie ufaj nikomu, kto wysłał Ci bezpośrednią wiadomość. W ŻADNYM PRZYPADKU nie wolno nikomu udostępniać swojego Tajnego Zwrotu Odzyskiwania ani wprowadzać go na jakiejkolwiek stronie!
— Wsparcie MetaMask (@MetaMaskSupport) 29 kwietnia 2022 r.
W tym miejscu sytuacja staje się niejasna, ponieważ portfel Web3 nigdy nie poprosi o inicjator lub frazę mnemoniczną 12-24, chyba że użytkownik aktywnie przywraca portfel. Jednak niczego niepodejrzewający użytkownicy oszustwa typu airdrop phishing mogą pomyśleć, że błąd jest uzasadniony i wprowadzić swoje nasiona na stronę internetową, co ostatecznie prowadzi do utraty wszystkich środków przechowywanych w portfelu.
Zasadniczo użytkownik po prostu przekazał klucze prywatne atakującym, wpadając na stronę błędu portfela Web3 i prosząc o frazę mnemoniczną. Osoba nigdy nie powinna wprowadzać frazy początkowej ani frazy mnemonicznej 12-24, jeśli zostanie o to poproszona z nieznanego źródła, a jeśli nie ma potrzeby przywracania portfela, tak naprawdę nigdy nie ma potrzeby wpisywania frazy początkowej online.
Dawanie uprawnień Shady Dapp nie jest najlepszym pomysłem
Drugi atak jest nieco bardziej skomplikowany i atakujący wykorzystuje szczegóły kodu, aby okraść użytkownika portfela Web3. Podobnie oszustwo typu phishing typu airdrop będzie reklamowane w mediach społecznościowych, ale tym razem, gdy dana osoba odwiedzi portal internetowy, może użyć swojego portfela Web3, aby „połączyć się” z witryną.
Osoba atakująca napisała jednak kod w taki sposób, że zamiast zapewnić witrynie dostęp do odczytu sald, użytkownik ostatecznie daje witrynie pełne pozwolenie na kradzież środków z portfela Web3. Może się to zdarzyć po prostu łącząc portfel Web3 z oszukańczą witryną i przyznając jej uprawnienia. Ataku można uniknąć, po prostu nie łącząc się z witryną i odchodząc, ale jest wiele osób, które dały się nabrać na ten atak phishingowy.
Oto najnowsze oszustwo typu phishing
1️⃣ Zrzuć token drogą lotniczą
2️⃣ Zbuduj witrynę internetową o tej samej nazwie, aby można ją było łatwo znaleźć
3️⃣ Kiedy znajdziesz coś, co wydaje się stawiać na ten token, Approve txn zapewnia nieograniczone wydawanie innych tokenów (tj. SNX)Następnie opróżniają Twój portfel z tokena. pic.twitter.com/vICIeC5rGk
- DeFi Dad ⟠ defidad.eth (@DeFi_Dad) 20 grudnia 2021 r.
Innym sposobem zabezpieczenia portfela jest upewnienie się, że uprawnienia portfela Web3 są połączone z witrynami, którym użytkownik ufa. Jeśli istnieją zdecentralizowane aplikacje (dappy), które wydają się podejrzane, użytkownicy powinni usunąć uprawnienia, jeśli przypadkowo połączyli się z dappem, dając się nabrać na „darmowe” oszustwo kryptograficzne. Zwykle jednak jest już za późno i gdy dapp uzyska pozwolenie na dostęp do środków portfela, kryptowaluta zostaje skradziona użytkownikowi poprzez złośliwe kodowanie zastosowane w dappie.
Najlepszym sposobem ochrony przed dwoma wyżej wymienionymi atakami jest nigdy nie wprowadzanie frazy początkowej w Internecie, chyba że celowo przywracasz portfel. Oprócz tego dobrym pomysłem jest nigdy nie łączenie się ani nie udzielanie uprawnień portfelowi Web3 podejrzanym witrynom Web3 i dappom, których nie znasz. Te dwa ataki mogą spowodować poważne straty niczego niepodejrzewającym inwestorom, jeśli nie będą oni ostrożni wobec obecnego trendu phishingu typu airdrop.
Czy znasz kogoś, kto padł ofiarą tego typu oszustwa phishingowego? Jak rozpoznać próby kryptophishingu? Daj nam znać swoje przemyślenia w komentarzach.
Kredyty obrazowe: Shutterstock, Pixabay, Wiki Commons
Odpowiedzialność: Ten artykuł ma wyłącznie charakter informacyjny. Nie jest to bezpośrednia oferta ani nakłanianie do kupna lub sprzedaży, ani rekomendacja lub poparcie jakichkolwiek produktów, usług lub firm. Bitcoin.com x nie udziela porad inwestycyjnych, podatkowych, prawnych ani księgowych. Ani firma, ani autor nie są odpowiedzialni, bezpośrednio ani pośrednio, za jakiekolwiek szkody lub straty spowodowane lub rzekomo spowodowane lub w związku z wykorzystaniem lub poleganiem na treściach, towarach lub usługach wymienionych w tym artykule.
Źródło: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/