背景

在我们的最后一次Web3 安全入門指南在這個問題上，我們專注於涉及多簽名的釣魚攻擊，包括多簽名的工作原理、造成多簽名的原因以及如何防止你的錢包被利用。這一次，我們將討論一種在傳統行業和加密貨幣領域都常用的流行營銷策略：空投。

空投是项目快速获得关注并迅速建立用户群的一种方式。当参与Web3项目时，用户被要求点击链接并与团队互动以获取代币，但黑客在整个过程中设下陷阱。从假网站到隐藏的恶意工具，风险是真实存在的。在本指南中，我们将解析典型的空投骗局并帮助您保护自己。

什麼是空投？

空投是指Web3項目向特定錢包地址免費分發代幣，以增加可見度並吸引用戶。這是項目獲得關注的直接方式。空投可以根據索取方式進行分類：

• 基於任務: 完成特定任務，如分享、點贊或其他操作。
• 互動: 完成像交換代幣，發送/接收代幣，或進行跨鏈操作等操作。
• 基於持有：持有某些代幣，有資格參加空投。
• 基於 Staking：抵押代幣、提供流動性，或鎖定資產一段時間以賺取空投代幣。

聲明空投的風險

假空投騙局

這裡是一些常見的假空投詐騙類型：

1. 黑客劫持了項目的官方帳戶，發布了假空投公告。我們經常看到類似的警報：“某個項目的 X 帳號或 Discord 帳號遭到了駭客攻擊。請不要點擊駭客發布的釣魚鏈接。”據 SlowMist 的 2024 年報告顯示，單單上半年就有 27 次項目帳戶被駭事件。信任官方帳戶的用戶點擊這些鏈接，被帶到偽裝成空投的釣魚網站。如果在這些網站輸入你的私鑰或種子短語，或授權任何權限，駭客可以竊取你的資產。

1. 黑客使用高仿專案團隊帳號，在官方專案帳號的評論區發布虛假訊息，引誘用戶點擊釣魚連結。 SlowMist 安全團隊先前分析了這種方法並提供了對策（見，假項目團隊：小心仿冒帳戶評論區的釣魚此外，在官方項目宣佈空投後，黑客很快便會跟上，利用模仿帳戶在社交平台上發布許多包含釣魚鏈接的更新。許多用戶無法辨識假帳戶，最終安裝了欺詐應用程序或打開了釣魚網站，進行了簽名授權操作。

(https://x.com/im23pds/status/1765577919819362702)

1. 第三种诈骗方法更糟糕，是经典的诈骗。骗子潜伏在 Web3 项目组中，选择目标用户并进行社交工程攻击。有时，他们会以空投为诱饵，“教”用户如何转移代币以获得空投。用户应保持警惕，不要轻易相信任何联系他们的“官方客服”或声称“教”他们如何操作的人。这些个人很可能是骗子。你可能认为自己只是在领取一个空投，但最终会遭受重大损失。

「免費」空投代幣：了解風險

在加密空間中，空投在用戶通常需要完成特定任務以贏得免費代幣方面很常見。然而，有一些惡意行為利用了這些機會。例如，黑客可能會向用戶空投沒有實際價值的代幣。這些用戶可能會嘗試與這些代幣進行互動——轉移它們、查看它們的價值，甚至在去中心化交易所上進行交易。但是，在對一個詐騙NFT合約進行逆向工程後，我們發現試圖轉移或列出NFT均失敗，並出現錯誤消息：“訪問網站解鎖您的物品”，誤導用戶訪問釣魚網站。

如果用户上当并访问钓鱼网站，黑客可以采取多种有害行动：

• 通過“零成本”機制批量購買有價值的NFT（參見“零成本NFT釣魚"（有关更多详情）。
• 窃取具有高价值的代币批准或签名许可。
• 從使用者錢包中竊取本地資產。

接下來，讓我們看看駭客如何使用精心製作的惡意合約來竊取用戶的 Gas 費用。首先，駭客在 BSC 上創建了一個名為 GPT（0x513C285CD76884acC377a63DC63A4e83D7D21fb5）的惡意合約，使用空投代幣來吸引用戶與之互動。當用戶與這個惡意合約進行互動時，會彈出一個請求，要求批准該合約使用用戶錢包中的代幣。如果用戶批准此請求，該惡意合約會自動根據用戶錢包餘額增加 Gas 限制，導致後續交易消耗更多 Gas 費用。

利用用户提供的高Gas限制，恶意合约使用额外的Gas铸造CHI代币（CHI代币可用于Gas补偿）。在积累了大量的CHI代币之后，黑客可以在合约被销毁时烧毁这些代币以获得Gas补偿。

(https://x.com/SlowMist_Team/status/1640614440294035456)

通過這種方法，黑客巧妙地從用戶的Gas費中獲利，而用戶可能甚至意識不到他們支付了額外的Gas費用。用戶最初以為自己可以通過出售空投的代幣獲利，但最終他們的本地資產被盜。

後門工具

（https://x.com/evilcos/status/1593525621992599552)

在領取空投的過程中，一些用戶需要下載插件來翻譯或查詢代幣的珍稀度等功能。這些插件的安全性是值得懷疑的，一些用戶從非官方來源下載它們，增加了下載後門插件的風險。

此外，我們注意到有在線服務出售自動空投腳本，聲稱可以自動執行大量互動。儘管聽起來很有效，但用戶應該小心，因為下載未經驗證的腳本極其危險。您無法確定腳本的來源或真正功能。它可能包含惡意代碼，可能威脅到私鑰或種子短語，或執行其他未經授權的操作。此外，一些用戶在沒有防病毒軟件的情況下執行這些風險操作，這可能導致未被檢測到的特洛伊木馬感染，從而損害其設備。

摘要

本指南主要通過分析詐騙來解釋索取空投所帶來的風險。現在許多項目都將空投作為市場營銷工具。用戶可以採取以下措施來減少在索取空投過程中資產損失的風險：

• 多重驗證：訪問空投網站時，請仔細檢查網址。通過官方項目帳戶或公告頻道進行確認。您也可以安裝針對釣魚風險的阻擋插件（例如Scam Sniffer）來幫助識別釣魚網站。
• 錢包分段：使用具有少量資金的錢包以進行空投申請，並將大量資金存儲在冷錢包中。
• 小心空投代幣：請謹慎對待來自未知來源的空投代幣。避免匆忙授權或簽署交易。
• 檢查 Gas 限制: 請注意交易的 Gas 限制是否異常高。
• 使用防毒軟件：使用知名的防毒軟件（如卡巴斯基、AVG等）啟用實時保護，並確保病毒定義是最新的。

免責聲明:

1. 本文轉載自 SlowMist 技術, 版權屬於原作者[SlowMist安全團隊]。如果對此轉載有異議，請聯繫gate 學習團隊會儘快處理它。
2. 免責聲明：本文所表達的觀點和意見僅為作者個人觀點，並不構成任何投資建議。
3. Gate Learn 團隊將該文章翻譯成其他語言。 未經許可，禁止複製、分發或剽竊翻譯後的文章。