今日运势评分

-7

本月运势

癸未月

震荡偏多

比肩争财,寅冲申
丁不剃头头必生疮
丑不冠带主不还乡

破屋,坏垣,馀事勿取

诸事不宜

月相

渐盈凸

冲顶回落

日冲

Powered by RitMEX

TRUMP8.46 -1.93%

SUI2.87 -1.38%

TON2.76 -1.35%

TRX0.29 0.18%

DOGE0.17 -2.14%

XRP2.28 0.36%

SOL150.21 -1.48%

BNB660.88 -0.34%

ETH2548.58 -1.13%

BTC108330.40 -0.53%

ETH Gas0.54 Gwei

贪婪
73

空投新手防诈指南:学会识别和避免常见陷阱,守护你的加密资产

本指南将分析常见的空投诈骗,帮助你避免陷阱。

作者:SlowMist

编译:深潮TechFlow

背景

在我们之前关于 Web3 安全的指南中,我们讨论了多重签名钓鱼的主题,介绍了多重签名钱包的工作原理、攻击者如何利用这些钱包,以及如何保护你的钱包免受恶意签名的侵害。在本期中,我们将深入探讨一种在传统和加密行业中广泛使用的营销策略——空投(airdrops)。

空投可以迅速将一个项目从默默无闻推向聚光灯,帮助其快速建立用户基础并提升市场知名度。通常,用户通过点击链接并与项目互动来参与 Web3 项目,以领取空投的代币。然而,从假冒网站到带有后门的工具,黑客在整个空投过程中设置了陷阱。本指南将分析常见的空投诈骗,帮助你避免这些陷阱。

什么是空投?

空投是指 Web3 项目向特定钱包地址分发免费代币,以提高其可见性并吸引早期用户。这是项目获取用户基础的最直接方法之一。根据领取方式,空投一般可以分为以下几种类型:

  • 基于任务的:完成项目指定的任务,例如分享内容或点赞。

  • 基于互动的:进行代币交换、发送/接收代币或跨链操作等行为。

  • 基于持有的:持有项目指定的代币以符合空投资格。

  • 基于质押的:通过单资产或双资产质押、提供流动性或长期锁仓来赚取空投代币。

领取空投的风险

假空投诈骗

这些诈骗可以分为几种类型:

1. 劫持官方账户:黑客可能控制项目的官方账户并发布假空投公告。例如,新闻平台上常见的警报会显示:“项目 Y 的 X 或 Discord 账户已被黑客入侵;请勿点击黑客分享的钓鱼链接。”根据我们2024年中期区块链安全和反洗钱报告,2024年上半年仅发生了27起此类事件。用户信任官方账户,可能会点击这些链接并被重定向到伪装成空投页面的钓鱼网站。如果他们输入私钥、助记词或授予权限,黑客就能窃取他们的资产。

2. 评论区冒充:黑客常常创建假项目账户,并在真实项目的社交媒体评论中发布声称提供空投的信息。不小心的用户可能会跟随这些链接进入钓鱼网站。例如,SlowMist 安全团队曾分析过这些策略,并在一篇名为“警惕评论区冒充”的文章中提供了建议。此外,在合法空投宣布后,黑客会迅速通过假账户发布钓鱼链接,模仿官方账户。许多用户因此被欺骗,安装了恶意应用或在钓鱼网站上进行了交易签署。

3. 社会工程攻击:在某些情况下,诈骗者渗透到 Web3 项目群组中,针对特定用户,使用社会工程技术欺骗他们。他们可能假装是支持人员或热心的社区成员,提供帮助用户领取空投的指导,结果却盗取他们的资产。用户应保持警惕,不要相信声称是官方代表的个人提供的未请求帮助。

第一个案例:

  • 用户在加密货币交易所购买了3,592个Pendle币。

  • 用户在官方Telegram群组中提到自己没有申请空投。

  • 两个自称是客户支持的人联系了用户。

  • 他们引导用户将所有Pendle币转移到一个特定的区块链地址,声称这样做可以获得空投资格。

  • 用户完成转账后发现自己的币被盗了。

第二个案例:

  • 3月8日午夜左右,用户在申领空投时遇到"JSON-RPC错误"。

  • 用户在Twitter上寻求解决方案。

  • 有人联系用户并提供了一个网站链接,声称可以解决问题。

  • 网站要求用户输入私钥。

  • 用户按照指示操作,后来意识到被骗了。

  • 盗窃发生在3月9日凌晨1:10左右。

“免费”空投代币

虽然大多数空投要求用户完成任务,但有时代币会在你没有任何操作的情况下出现在你的钱包中。黑客通常会向你的钱包空投毫无价值的代币,希望你通过转账、查看或尝试在去中心化交易所交易它们来与其互动。然而,当你尝试与这些诈骗 NFT 互动时,可能会遇到一个错误消息,提示你访问一个网站以“解锁你的物品”。这实际上是一个引导你进入钓鱼网站的陷阱。

如果用户访问了由诈骗 NFT 链接的钓鱼网站,黑客可能会执行以下操作:

  • 进行“零成本购买”有价值的 NFT(请参阅“零成本购买”NFT钓鱼分析)。

  • 盗取高价值代币,通过批准或许可签名。

  • 窃取本地资产。

接下来,让我们看看黑客如何通过精心设计的恶意合约窃取用户的 gas 费用。

首先,黑客在币安智能链(BSC)上创建了一个名为 GPT 的恶意合约(0x513C285CD76884acC377a63DC63A4e83D7D21fb5),并通过空投代币诱使用户与其互动。

当用户与这个恶意合约互动时,会被提示批准合约使用他们钱包中的代币。如果用户批准了这个请求,恶意合约会根据用户的钱包余额自动增加 gas 限制,导致后续交易中 gas 消耗增加。

通过利用用户提供的高 gas 限制,恶意合约使用多余的 gas 铸造 CHI 代币(CHI 代币可用于 gas 补偿)。在积累大量 CHI 代币后,黑客可以在销毁合约时燃烧这些代币以获得 gas 退款。

通过这种方式,黑客巧妙地从用户的 gas 费用中获利,用户却可能并不知道自己支付了额外的费用。用户原本期望通过出售空投代币获利,结果却失去了自己的本地资产。

在领取空投的过程中,一些用户需要下载插件来完成翻译或检查代币稀有性等任务。然而,这些插件的安全性令人质疑,许多用户并未从官方渠道下载,导致下载带有后门的插件风险大增。

此外,我们还注意到一些在线服务出售用于领取空投的脚本,声称能够高效地自动化批量交互。请注意,下载和运行未经验证的脚本极其危险,因为你无法确认其来源或实际功能。这些脚本可能包含恶意代码,带来潜在威胁,例如窃取私钥或助记词,或进行其他未授权的操作,如转移资产。此外,一些用户在进行这些高风险操作时,可能没有安装杀毒软件,或已将其禁用,这会导致他们无法检测到设备是否已被恶意软件入侵,从而造成更大的损失。

图中受害者使用了 Zengo 钱包,拥有50个独立账户和50个本地账户。5月9日晚上10:22之后,受害者发现原有的 ETH(以太币)不见了。当确认账户被黑客入侵时,所有账户中的资金都已被盗。

原因可能是受害者不知情下下载了木马程序,受害者因防病毒软件和防火墙不兼容而将它们关闭。事后使用防病毒软件扫描,发现电脑上安装了21个木马。

结论

在本指南中,我们通过分析常见的诈骗手法,强调了与领取空投相关的各种风险。空投是一种流行的营销策略,但用户可以通过采取以下措施来降低在此过程中的资产损失风险。

欢迎加入深潮TechFlow官方社群

Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News
作者DeFiHackLabs@DeFiHackLabs
相关文章
2025.07.04 - 4 天前
挖出潜力代币:如何用 AI 模型构建市盈率监控系统?
教你如何对市盈率进行分析,并借助AI模型构建相应的监控系统。
AI
2025.07.04 - 4 天前
a16z 重磅推荐:10 本暑期必读书单,拓展你的视野
我们的最新书单涵盖了真实故事、推测性小说和诗歌,并展现了一些清晰的主线:追求卓越、理解边缘案例(无论是人类、法律还是技术方面),以及拥抱非传统思维。
2025.07.04 - 4 天前
代币发行避坑指南:Web3 创始人必知的关键执行要点
成功的代币发行是全栈策略,需兼顾产品牵引力、社区规模与合规准备。
2025.07.01 - 7 天前
走进数据经济:如何在 Vana 上购买你的第一个数据代币?
从 Solana 上的 USDT 到 DataDEX 的三步指南:开启 AI 新前沿的大门。
2025.06.30 - 8 天前
如何在「链上」访问网站?
本文尝试在 TON 区块链上部署一个可访问的网页,探讨了购买域名、准备前端页面、绑定域名等步骤,并总结了当前体验中存在的问题与未来潜力。
TON
2025.06.26 - 12 天前
新协议泛滥,7 大工具帮你找到潜力股
享 7 大工具与评估维度,助你从链上数据与心智份额中捕获下一个 Aave 级潜力项目。
2025.06.26 - 12 天前
Dragonfly 人才合伙人:求职即投资,像创始人一样思考的 12 问清单
像投资者一样提问,像创始人一样思考。
2025.06.23 - 15 天前
GasFree操作指南|降低参与门槛,波场TRON实现稳定币直付Gas费
GasFree服务由JustLend DAO推出,用户通过TronLink钱包激活后可直接用USDT支付链上手续费。
2025.06.20 - 18 天前
加密推特盗号频发,复盘黑客的新型攻击及获利手法
即使防护得再严密,仍然有可能“中招”。一旦发现账号被盗,反应速度将决定损失的程度。
2025.06.18 - 20 天前
Sonic 空投第二季:你需要了解的一切
第二季标志着 Sonic 从「增长阶段」迈向「可持续发展阶段」。