У свеце криптовалют, дэцэнтралізаваных фінансаў (defi) і Web3 эйрдропы сталі звычайнай з'явай у галіны. Тым не менш, у той час як airdrops гучаць як бясплатныя грошы, назіраецца расце тэндэнцыя фішынгавых афёраў, якія крадуць грошы людзей, калі яны спрабуюць атрымаць так званыя «бясплатныя» крыпта-актывы. Ніжэй прыведзены два розныя спосабы выкарыстання зламыснікамі фішынгавых махлярстваў, каб скрасці сродкі, і як вы можаце абараніць сябе.
Airdrops не заўсёды азначаюць «бясплатную криптовалюту» - многія акцыі Airdrop Giveaway імкнуцца вас абкрасці
Airdrops былі сінонімам бясплатных крыптафондаў, настолькі, што расце крыпта-махлярства пад назвай Airdrop фішынг. Калі вы з'яўляецеся ўдзельнікам крыптасупольнасці і карыстаецеся платформамі сацыяльных сетак, такімі як Twitter або Facebook, вы, напэўна, бачылі шэраг спам-пастоў, якія рэкламуюць рознага кшталту аэрадромы.
Звычайна папулярны крыпта-рахунак у Twitter робіць твіт, і за ім ідзе мноства ашуканцаў, якія рэкламуюць спробы фішынгу, і мноства акаўнтаў, якія кажуць, што яны атрымалі бясплатныя грошы. Большасць людзей не патрапяць на гэтыя махлярства з эйрдропам, але паколькі эйрдропы лічацца бясплатнай крыпта, была куча людзей, якія страцілі сродкі, стаўшы ахвярамі такіх тыпаў нападаў.
У першай атацы выкарыстоўваецца той жа метад рэкламы ў сацыяльных сетках, так як шэраг людзей або ботаў адпраўляюць спасылку, якая вядзе на вэб-старонку з ашуканскімі фішынгамі. Падазроны вэб-сайт можа выглядаць вельмі законна і нават капіяваць некаторыя элементы з папулярных праектаў Web3, але ў рэшце рэшт ашуканцы імкнуцца скрасці сродкі. Афёра з бясплатным аэрадромам можа быць невядомым крыпта-токенам, або гэта таксама можа быць папулярным існуючым лічбавым актывам, такім як BTC, ETH, SHIB, DOGE і многае іншае.
Першая атака звычайна паказвае, што эйрдроп можна атрымаць, але чалавек павінен выкарыстоўваць сумяшчальны кашалёк Web3, каб атрымаць так званыя «бясплатныя» сродкі. Вэб-сайт вядзе на старонку, якая паказвае ўсе папулярныя кашалькі Web3, такія як Metamask і іншыя, але на гэты раз пры націску на спасылку кашалька з'явіцца памылка, і сайт запытае ў карыстальніка пачатковую фразу.
Каб атрымаць падтрымку, адкрыйце MetaMask і перайдзіце да «Падтрымка» або «Атрымаць дапамогу» у выпадальным меню. Не давярайце нікому, хто даслаў вам прамое паведамленне. Ні ў якім разе вы не павінны даваць сваю сакрэтную фразу аднаўлення нікому або ўводзіць яе на любы сайт!
— Падтрымка MetaMask (@MetaMaskSupport) Красавік 29, 2022
Тут усё становіцца сумнеўным, таму што кашалёк Web3 ніколі не запытае сем або мнеманічныя фразы 12-24, калі карыстальнік актыўна не аднаўляе кашалёк. Тым не менш, нічога не падазраючыя карыстальнікі фішынгавых афёраў з Airdrop могуць палічыць памылку законнай і ўвесці іх на вэб-старонку, што ў канчатковым выніку прывядзе да страты ўсіх сродкаў, якія захоўваюцца ў кашальку.
Па сутнасці, карыстальнік проста даў прыватныя ключы зламыснікам, патрапіўшы на старонку з памылкай кашалька Web3 з просьбай мнеманічнай фразы. Чалавек ніколі не павінен уводзіць сваю пачатковую або мнемантычную фразу 12-24 па падказцы невядомай крыніцы, і калі няма неабходнасці аднаўляць кашалёк, сапраўды ніколі не трэба ўводзіць пачатковую фразу ў Інтэрнэце.
Даць дазволы Shady Dapp - не лепшая ідэя
Другая атака крыху больш складаная, і зламыснік выкарыстоўвае тэхнічныя магчымасці кода, каб абрабаваць карыстальніка кашалька Web3. Аналагічным чынам фішынг-махлярства airdrop будзе рэкламавацца ў сацыяльных сетках, але на гэты раз, калі чалавек наведвае вэб-партал, ён можа выкарыстоўваць свой кашалёк Web3 для «падлучэння» да сайта.
Аднак зламыснік напісаў код такім чынам, што замест таго, каб даць сайту доступ для чытання балансаў, карыстальнік у канчатковым рахунку дае сайту поўны дазвол на крадзеж сродкаў у кашальку Web3. Гэта можа адбыцца, проста падключыўшы кашалёк Web3 да махлярскага сайта і даўшы яму дазволы. Атакі можна пазбегнуць, проста не падключыўшыся да сайта і сысці, але ёсць шмат людзей, якія падпалі на гэтую фішынг-атаку.
Вось апошняя фішынгавая афёра
1️⃣ Перакіньце жэтон
2️⃣ Стварыце вэб-сайт з такой жа назвай, каб яго было лёгка знайсці
3️⃣ Калі вы выявіце, што, здаецца, ставіць на гэты токен, Approve txn дае неабмежаваныя выдаткі на іншыя токены (напрыклад, SNX)Затым яны зліваюць ваш кашалёк з токена. pic.twitter.com/viCIeC5rGk
- DeFi тата ⟠ defidad.eth (@DeFi_Dad) Снежань 20, 2021
Іншы спосаб абараніць кашалёк - пераканацца, што дазволы Web3 кашалька падключаны да сайтаў, якім карыстаецца давяраецца. Калі існуюць якія-небудзь дэцэнтралізаваныя праграмы (dapps), якія здаюцца нязначнымі, карыстальнікі павінны выдаліць дазволы, калі яны выпадкова падключыліся да дапп, патрапіўшы на «бясплатную» крыпта-махлярства. Аднак звычайна бывае занадта позна, і як толькі дапп атрымае дазвол на доступ да сродкаў кашалька, крыпта выкрадаецца ў карыстальніка з дапамогай шкоднаснага кадавання, якое прымяняецца да дап.
Лепшы спосаб абараніць сябе ад двух згаданых вышэй нападаў - гэта ніколі не ўводзіць сваю пачатковую фразу ў Інтэрнэце, калі вы наўмысна не аднаўляеце кашалёк. Разам з гэтым, гэта таксама добрая форма ніколі не падключацца і не даваць кашальку Web3 дазволы на цяністыя вэб-сайты Web3 і дапп, з якімі вы не знаёмыя. Гэтыя дзве атакі могуць нанесці сур'ёзныя страты нічога не падазраваным інвестарам, калі яны не будуць уважліва ставіцца да цяперашняй тэндэнцыі фішынгу па Airdrop.
Ці ведаеце вы каго-небудзь, хто стаў ахвярай такога роду фішынгавых афёр? Як вы выявіце спробы крыпта-фішынгу? Дайце нам ведаць вашыя думкі ў каментарах.
крэдыты малюнка: Shutterstock, Pixabay, Wiki Commons
адмова: Гэты артыкул прызначана выключна ў інфармацыйных мэтах. Гэта не прамая прапанова альбо хадайніцтва аб куплі-продажы, альбо рэкамендацыя альбо адабрэнне якіх-небудзь прадуктаў, паслуг ці кампаній. Bitcoin.com не дае інвестыцыйных, падатковых, юрыдычных і бухгалтарскіх кансультацый. Ні кампанія, ні яе аўтар не нясуць прамой ці ўскоснай адказнасці за шкоду альбо страты, якія былі выкліканыя альбо нібыта выкліканы альбо звязаны з выкарыстаннем альбо давядзеннем якога-небудзь зместу, тавараў ці паслуг, згаданых у гэтым артыкуле.
Крыніца: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/