在上一期 Web3 安全入门避坑指南中,我们主要讲解了多签钓鱼的相关知识,包括多签机制、造成多签的原因及如何避免钱包被恶意多签等内容。本期我们要讲解的是一种无论在传统行业还是加密领域,都被视为有效的营销手段 —— 空投。
空投能够在短时间内将项目从默默无闻推向大众视野,迅速积累用户基础,提升市场影响力。用户在参与 Web3 项目时,需要点击相关链接、与项目方交互以获取空投代币,然而从高仿网站到带后门的工具,黑客早已在用户领空投过程的上下游布满了陷阱。因此,本期我们将通过分析一些典型的空投骗局来讲解相关风险,帮助大家避坑。
Web3 项目方为了增加项目的知名度和实现初期用户的积累,常常会免费向特定钱包地址分发代币,这一行为被称为“空投”。对项目方而言,这是获得用户最直接的方式。根据获取空投的方式,空投通常可以分为以下几类:
假空投骗局
此类骗局又可以细分为以下几种:
1. 黑客盗取项目方的官方账号发布假空投的消息。我们经常可以在资讯平台上看到“某项目的 X 账号或者 Discord 账号被黑,请广大用户不要点击黑客发布的钓鱼链接”的安全提醒。据慢雾 2024 上半年区块链安全与反洗钱报告的数据,仅 2024 上半年,项目方账号被黑事件就有 27 件。用户基于对官方账号的信任而点击这些链接,进而被引导至伪装成空投的钓鱼网站。一旦在钓鱼网站上输入了私钥/助记词或授权了相关权限,黑客就能盗走用户的资产。
2. 黑客使用高仿的项目方账号在项目方官方真实账号的评论区刷留言,发布领取空投的消息,诱导用户点击钓鱼链接。此前慢雾安全团队分析过这类手法并提出了应对建议,见真假项目方 | 警惕评论区高仿号钓鱼;此外,在真项目方发布空投的消息后,黑客也会紧随其后,在社交平台上使用高仿账号大量发布包含钓鱼链接的动态,许多用户因未仔细辨别而安装了虚假 APP 或打开钓鱼网站进行了签名授权的操作。
(https://x.com/im23pds/status/1765577919819362702)
3. 第三种诈骗套路更可恶,妥妥的骗子,他们潜伏在 Web3 项目的群组里,挑选目标用户进行社会工程攻击,有时以空投为诱饵,“教”用户按照要求转移代币以获取空投。请广大用户提高警惕,不要轻易相信主动联系你的“官方客服”或是“教”你如何操作的网友,这些人大概率是骗子,你只是想领个空投,结果却损失惨重。
“白给”的空投代币
开篇提到,用户往往需要完成某种任务才能获取空投,我们接下来看看“白给“用户代币的情况。黑客会向用户的钱包空投没有实际价值的代币,用户看到这些代币,可能会尝试与之交互,例如转移、查看或在去中心化交易所上进行交易。然而我们逆向分析一个 Scam NFT 的智能合约发现,当尝试挂单或转移这个 Scam NFT 时会失败,然后出现错误提示“Visit website to unlock your item”,诱导用户访问钓鱼网站。
如果用户访问了 Scam NFT 引导的钓鱼网站,黑客便可能进行以下操作:
接下来我们再看看黑客如何通过一个精心设计的恶意合约窃取用户的 Gas 费。
首先,黑客在 BSC 上创建了一个名为 GPT 的恶意合约 (0x513C285CD76884acC377a63DC63A4e83D7D21fb5),通过空投代币吸引用户进行交互。
用户与该恶意合约交互时,出现了需要批准该合约使用钱包中代币的请求。如果用户批准了这个请求,恶意合约会根据用户钱包中的余额,自动提高 Gas 限额,这使得后续的交易消耗更多的 Gas 费。
利用用户提供的高 Gas 限额,恶意合约使用多余的 Gas 来铸造 CHI 代币(CHI 代币可以用于 Gas 补偿)。恶意合约积累了大量的 CHI 代币后,黑客可以通过燃烧 CHI 代币,获得合约销毁时返还的 Gas 补偿。
(https://x.com/SlowMist_Team/status/1640614440294035456)
通过这种方式,黑客巧妙地利用用户的 Gas 费为自己牟利,而用户可能并未察觉到他们已经支付了额外的 Gas 费。用户本以为可以通过出售空投代币获利,结果却被盗取了原生资产。
带后门的工具
领空投的过程中,一些用户需要下载翻译或查询代币稀有度之类的插件,这些插件的安全性存疑,且有的用户下载插件时没有从官方渠道下载,这就使得下载到带有后门的插件的可能性大大增加。
此外,我们还注意到网上有出售领空投脚本的服务,声称可以通过运行脚本完成自动批量交互,听起来挺高效的,但是请注意,下载未经审查和验证的脚本存在极大的风险,因为你无法确定脚本的来源和它的真实功能。脚本可能包含恶意代码,潜在的威胁包括盗取私钥/助记词或者执行其他未授权的操作。而且,一些用户在执行相关类型的风险操作时,未安装或是关闭了杀毒软件,导致未能及时发现设备中了木马,进而受损。
Prev Chapter:BTC生态下半场 还有哪些项目值得关注?
Next Chapter:比特币投资者重回长持模式