У світі криптовалют, децентралізованих фінансів (defi) і Web3 Airdrops стали звичним явищем у галузі. Проте, незважаючи на те, що airdrops звучать як безкоштовні гроші, спостерігається зростаюча тенденція до фішингових шахрайств, які крадуть гроші людей, коли вони намагаються отримати так звані «безкоштовні» криптоактиви. Нижче наведено два різні способи, якими зловмисники використовують фішингові шахрайства airdrop для крадіжки коштів, і як ви можете захистити себе.
Airdrops не завжди означають «безкоштовну криптовалюту» — багато акцій з розіграшами Airdrop хочуть вас пограбувати
Airdrops були синонімом безкоштовних криптовалютних коштів, настільки, що зростаюча криптова афера, яка називається фішингом airdrop, стала поширеною. Якщо ви є учасником крипто-спільноти і користуєтеся такими соціальними мережами, як Twitter або Facebook, ви, напевно, бачили низку спам-повідомлень, які рекламують усілякі аирдропи.
Зазвичай популярний криптовалютний обліковий запис Twitter публікує твіти, і за ним слідує безліч шахраїв, які рекламують спроби фішингу за допомогою airdrop, і багато акаунтів, які говорять, що вони отримали безкоштовні гроші. Більшість людей не попадуться на ці шахрайства, але оскільки airdrops вважаються безкоштовною криптовалютою, є купа людей, які втратили кошти, ставши жертвами таких типів атак.
Перша атака використовує той самий метод реклами в соціальних мережах, оскільки кілька людей або ботів надсилають посилання, яке веде на веб-сторінку про фішинг-шахрайство. Підозрілий веб-сайт може виглядати дуже законно і навіть копіювати деякі елементи з популярних проектів Web3, але зрештою шахраї намагаються вкрасти кошти. Безкоштовна шахрайська афера може бути невідомим крипто-токеном, або це також може бути популярним існуючим цифровим активом, як-от БТД, ETH, SHIB, DOGE тощо.
Перша атака, як правило, показує, що airdrop можна отримати, але особа повинна використовувати сумісний гаманець Web3, щоб отримати так звані «безкоштовні» кошти. Веб-сайт призведе до сторінки, яка показує всі популярні гаманці Web3, як-от Metamask та інші, але цього разу, при натисканні на посилання гаманця, з’явиться помилка, і сайт запитає у користувача початкову фразу.
Щоб отримати підтримку, відкрийте MetaMask і перейдіть до «Підтримка» або «Отримати допомогу» у спадному меню. Не довіряйте нікому, хто надіслав вам пряме повідомлення. НІ ЗА ЖОДІХ ОБСТАВИН ви ніколи не повинні комусь давати свою секретну фразу відновлення або вводити її на будь-який сайт!
— Підтримка MetaMask (@MetaMaskSupport) Квітень 29, 2022
Тут ситуація стає неясною, тому що гаманець Web3 ніколи не запитує початкову фразу або мнемонічну фразу 12-24, якщо користувач активно не відновлює гаманець. Однак, нічого не підозрюють користувачі фішингових шахраїв airdrop можуть вважати помилку законною і ввести своє насіння на веб-сторінку, що в кінцевому підсумку призведе до втрати всіх коштів, що зберігаються в гаманці.
По суті, користувач просто дав приватні ключі зловмисникам, потрапивши на сторінку помилки гаманця Web3 із запитом мнемонічної фрази. Особа ніколи не повинна вводити свою початкову фразу або мнемонічну фразу 12-24, якщо її підказує невідоме джерело, і якщо немає потреби відновити гаманець, насправді ніколи не потрібно вводити початкову фразу в Інтернеті.
Надання дозволів Shady Dapp — не найкраща ідея
Друга атака є дещо складнішою, і зловмисник використовує технічні особливості коду, щоб пограбувати користувача гаманця Web3. Аналогічно, фішинг-шахрайство Airdrop буде рекламуватися в соціальних мережах, але цього разу, коли людина відвідує веб-портал, вона може використовувати свій гаманець Web3 для «підключення» до сайту.
Однак зловмисник написав код таким чином, що замість того, щоб надати сайту доступ для читання балансів, користувач в кінцевому підсумку надає сайту повний дозвіл на крадіжку коштів у гаманці Web3. Це може статися, просто підключивши гаманець Web3 до шахрайського сайту та надавши йому дозволи. Атаки можна уникнути, просто не підключаючись до сайту та піти, але є багато людей, які впали на цю фішингову атаку.
Ось останній фішинговий шахрай
1️⃣ Перекиньте жетон
2️⃣ Створіть веб-сайт з такою ж назвою, щоб його було легко знайти
3️⃣ Коли ви знайдете те, що, здається, ставить для цього токена, Approve txn дає необмежені витрати на інші токени (тобто SNX)Потім вони вичерпують токен з вашого гаманця. pic.twitter.com/viCIeC5rGk
- DeFi Dad ⟠ defidad.eth (@DeFi_Dad) 20 Грудня, 2021
Інший спосіб захистити гаманець — переконатися, що дозволи гаманця Web3 підключені до сайтів, яким довіряє користувач. Якщо є якісь децентралізовані програми (dapps), які здаються темними, користувачі повинні видалити дозволи, якщо вони випадково підключилися до dapp, потрапивши на «безкоштовну» крипто-шахрайство. Однак зазвичай буває занадто пізно, і як тільки програмне забезпечення має дозвіл на доступ до коштів гаманця, криптовалюта викрадається у користувача через шкідливе кодування, застосоване до програми.
Найкращий спосіб захистити себе від двох згаданих вище атак — ніколи не вводити свою початкову фразу в Інтернеті, якщо ви навмисно не відновлюєте гаманець. Крім того, це також хороша форма ніколи не підключатися та не надавати дозволи гаманцю Web3 для темних веб-сайтів і програмних програм Web3, з якими ви не знайомі. Ці дві атаки можуть завдати значних втрат нічого не підозрюючим інвесторам, якщо вони не будуть уважні до поточної тенденції фішингу Airdrop.
Чи знаєте ви когось, хто став жертвою такого типу фішингу? Як помітити спроби криптофішингу? Повідомте нам свої думки в коментарях.
Зображення кредитів: Shutterstock, Pixabay, Wiki Commons
відмова: Ця стаття призначена лише для ознайомлення. Це не пряма пропозиція чи клопотання пропозиції про купівлю чи продаж, або рекомендація чи схвалення будь-яких товарів, послуг чи компаній. Bitcoin.com не надає інвестиційних, податкових, юридичних чи бухгалтерських консультацій. Ні компанія, ні автор не несуть прямої чи опосередкованої відповідальності за будь-які збитки або збитки, спричинені або ймовірно спричинені або пов'язані з використанням або покладанням на будь-який вміст, товари чи послуги, згадані в цій статті.
Джерело: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/