Ciemna strona Crypto Airdrops: Jak oszuści wykorzystują darmowe tokeny do kradzieży środków?

W szybko zmieniającym się świecie kryptowalut, airdropy są często postrzegane jako bonus - nagroda za wczesną adopcję, udział w społeczności lub zwykłą aktywność portfela. Jednak równolegle z legalnymi zachętami pojawił się mroczny trend: oszustwa związane z airdropami mające na celu oszukanie niczego niepodejrzewających użytkowników i narażenie na szwank ich portfeli i funduszy.

Niniejszy artykuł wyjaśnia, jak działają te oszustwa, dlaczego są skuteczne i - co najważniejsze - jak się chronić.

Jeśli korzystasz z web3, self-custody, Metamask itp. ten post jest dla Ciebie!

co to jest legalny airdrop?

Legalny airdrop ma miejsce, gdy projekt kryptograficzny dystrybuuje darmowe tokeny do posiadaczy portfela, zazwyczaj w celu

• Nagradzać pierwszych użytkowników

• Dystrybucja tokenów zarządzania

• Zachęcać do rozwoju ekosystemu

• Wprowadzić na rynek nowy token lub protokół

Godne uwagi przykłady legalnych airdropów z przeszłości obejmują:

• Uniswap (UNI) w 2020 r

• Arbitrum (ARB) w 2023 r

• Jupiter (JUP) w 2024 r

Wydarzenia te są zazwyczaj

• Ogłaszane na oficjalnych stronach internetowych projektów i kanałach społecznościowych

• Dystrybuowane za pośrednictwem weryfikowalnych inteligentnych kontraktów

• Nieinteraktywne lub o niskim ryzyku (np. tokeny są po prostu wysyłane do portfeli)

wzrost liczby fałszywych airdropów

Z kolei oszustwa typu airdrop mają na celu

• Zwabienie użytkowników do podpisania złośliwych transakcji

• Nakłonić ich do zatwierdzenia uprawnień do oszukańczych inteligentnych kontraktów

• Wydrenować cenne aktywa z portfeli użytkowników

Oszustwo działa poprzez wykorzystanie ciekawości, braku ogólnej wiedzy kryptograficznej, znajomości interfejsu i łatwości, z jaką zrzuty mogą być symulowane w łańcuchu.

jak działa oszustwo (krok po kroku)

1. Oszuści wysyłają fałszywy token do jednego z portfeli użytkownika
   

   • Token ma nazwę przypominającą dobrze znany zasób lub zdarzenie (np. USDT_AIRDROP, ETH2Claim, ARB_REWARD)

   • Pojawia się w interfejsie portfela (np. MetaMask, Trust Wallet) bez żadnych ostrzeżeń
     

2. Token wydaje się wartościowy
   

   • Oszust manipuluje metadanymi tokena, aby wyglądał, jakby miał wartość rynkową

   • Niektóre eksploratory, czyli strony internetowe umożliwiające zbieranie informacji o tokenie, mogą pokazywać zawyżoną lub fałszywą płynność
     

3. Użytkownik wchodzi w interakcję z tokenem
   

   • Próbujesz "odebrać", "wypłacić" lub "wymienić" token

   • Witryna phishingowa (fałszywa witryna lub replika witryny, która oszukuje użytkownika, aby uwierzył, że jest legalna) prosi o podłączenie portfela i "zatwierdzenie" tokena
     

4. Nieświadomie autoryzujesz złośliwy dostęp
   

   • Zatwierdzenie (większość ludzi nie sprawdza autoryzacji / uprawnień podczas łączenia nowych tokenów lub sieci, na przykład w Metamask) daje oszustowi pozwolenie na przeniesienie twoich prawdziwych tokenów (np. USDT, ETH, stablecoinów) do portfeli atakujących

   • Twój portfel jest opróżniany natychmiast po podpisaniu transakcji

dlaczego to działa

rzeczywisty przykład

Użytkownik otrzymuje token o nazwie USDT_AIRDROP, pokazujący saldo o równowartości 1000 USD. Zaciekawiony, podąża za linkiem na stronie kontraktu tokena, który prowadzi do strony phishingowej naśladującej prawdziwą platformę DeFi. Witryna prosi ich o "odblokowanie tokena" Po podpisaniu transakcji (nie wiedząc, że procedura ta w rzeczywistości daje oszustowi pozwolenie na przeniesienie środków), oszust natychmiast wysysa wszystkie USDT i ETH z portfela - korzystając z właśnie zatwierdzonego dostępu.

Ten rodzaj ataku jest coraz bardziej powszechny i trudny do odwrócenia (szczerze mówiąc niemożliwy) po jego wykonaniu.

🛡️ Jak się chronić

Postępuj zgodnie z poniższymi najlepszymi praktykami, aby nie paść ofiarą oszustw typu airdrop:

✅ Nie:

• Ignorujnieznane tokeny: Jeśli o nie nie prosiłeś, nie dotykaj ich. Nie ma darmowego lunchu ani dobrej woli. Jeśli ktoś wysłał ci nieoczekiwane tokeny, bądź podejrzliwy.

• Korzystajz funkcji ukrywania tokenów w interfejsie portfela (weź również pod uwagę, że czasami funkcje te kończą się ukrywaniem prawdziwych transakcji, co jest fałszywie pozytywne).

• Korzystajz narzędzi takich jak revoke.cash, aby sprawdzać i cofać uprawnienia do inteligentnych kontraktów w swoich portfelach.

• Potwierdzaj airdropy wyłącznieza pośrednictwem oficjalnych źródeł projektu (np. X/Twitter, Discord, strona internetowa).

• Używajdedykowanego "zimnego" portfela do długoterminowego przechowywania i unikaj łączenia go (lepiej nigdy tego nie rób) z nieznanymi dApps.

nie:

• Wchodzić w interakcje z nieznanymi tokenami lub podejmować prób ich natychmiastowej wymiany

• Klikać linków ze stron tokenów eksploratora bloków bez weryfikacji

• Podpisywać inteligentnych transakcji kontraktowych, których w pełni nie rozumiesz

jak zidentyfikować token oszustwa

końcowe przemyślenia

Chociaż airdropy mogą być potężnym narzędziem do rozwoju społeczności i decentralizacji, są one również wykorzystywane przez oszustów do kradzieży środków za pomocą jednego kliknięcia. Najlepszym sposobem na zachowanie bezpieczeństwa jest podchodzenie do wszystkich niezamówionych tokenów z maksymalnym sceptycyzmem.

Jeśli o nie nie prosiłeś, nie dotykaj ich.

Jeśli nie rozumiesz transakcji, nie podpisuj jej.

Kryptowaluty dają ci możliwość bycia własnym bankiem - ale oznacza to również bycie własnym profesjonalnym zespołem bezpieczeństwa.