在加密貨幣、去中心化金融(defi) 和Web3 的世界中,空投在業界已司空見慣。然而,雖然空投聽起來像是免費的錢,但空投網絡釣魚詐騙的趨勢正在增長,當人們試圖獲得所謂的“免費”加密貨幣資產時,他們會竊取他們的錢。以下是攻擊者使用空投網絡釣魚詐騙竊取資金的兩種不同方式,以及如何保護自己。
空投並不總是意味著“免費加密貨幣”——許多空投贈品促銷活動都在想搶你
空投一直是免費加密貨幣資金的代名詞,以至於一種稱為空投網絡釣魚的加密騙局越來越普遍。如果你是加密貨幣社區的參與者並使用Twitter 或Facebook 等社交媒體平台,你可能已經看到許多垃圾郵件帖子廣告各種空投。
通常,一個受歡迎的Twitter 加密貨幣賬戶會發布一條推文,隨後會有大量詐騙者宣傳空投網絡釣魚嘗試,還有大量賬戶表示他們收到了免費資金。大多數人不會因為這些空投騙局而墮落,但是由於空投被認為是免費的加密,因此有很多人因成為此類攻擊的受害者而損失了資金。
第一次攻擊在社交媒體上使用相同的廣告方法,因為許多人或機器人會提供指向空投網絡釣魚詐騙網頁的鏈接。可疑網站可能看起來非常合法,甚至從流行的Web3項目中復制了一些元素,但最終,詐騙者正在尋求竊取資金。免費空投騙局可能是未知的加密代幣,也可能是流行的現有數字資產,如BTC、ETH、SHIB、DOGE 等。
第一次攻擊通常表明空投是可接收的,但此人必須使用兼容的Web3 錢包來取回所謂的“免費”資金。該網站將指向一個頁面,該頁面顯示所有流行的Web3 錢包,如Metamask 和其他錢包,但是這一次,當點擊錢包的鏈接時會彈出一個錯誤,並且該網站會要求用戶輸入助記詞。
要獲得支持,請打開MetaMask 並導航到下拉菜單中的“支持”或“獲取幫助”。不要相信任何向你發送直接消息的人。在任何情況下,你都不應該將你的秘密恢復短語提供給任何人或將其輸入任何網站
— MetaMask 支持(@MetaMaskSupport) 2022 年4 月29 日
這就是事情變得陰暗的地方,因為除非用戶正在積極恢復錢包,否則Web3 錢包永遠不會要求種子或12-24 助記詞。然而,毫無戒心的空投網絡釣魚詐騙用戶可能會認為錯誤是合法的,並將他們的種子輸入到網頁中,最終導致錢包中存儲的所有資金丟失。
基本上,用戶只是通過Web3 錢包錯誤頁面要求助記詞而將私鑰提供給攻擊者。如果未知來源提示,一個人不應該輸入他們的種子或12-24 助記詞,除非需要恢復錢包,否則真的不需要在線輸入助記詞。
給一個陰暗的Dapp 權限不是最好的主意
第二次攻擊有點棘手,攻擊者使用代碼的技術來搶劫Web3 錢包用戶。同樣,空投網絡釣魚詐騙將在社交媒體上做廣告,但這次當該人訪問門戶網站時,他們可以使用他們的Web3 錢包“連接”到該網站。
然而,攻擊者編寫代碼的方式使得它不是授予站點讀取餘額的權限,而是最終授予站點完全權限以竊取Web3 錢包中的資金。這可以通過簡單地將Web3 錢包連接到詐騙網站並授予其權限來實現。可以通過簡單地不連接到該站點並走開來避免攻擊,但是有很多人已經陷入了這種網絡釣魚攻擊。
這是最新的網絡釣魚詐騙
1️⃣ 空投代幣
2️⃣ 建立一個同名的網站,這樣很容易找到
3️⃣ 當你發現似乎在為這個代幣下注時,Approve txn 會無限次使用其他代幣(即SNX)
然後他們會耗盡你錢包裡的代幣。 pic.twitter.com/vICIeC5rGk
— DeFi 爸爸⟠ defidad.eth (@DeFi_Dad) 2021 年12 月20 日
保護錢包的另一種方法是確保錢包的Web3 權限連接到用戶信任的站點。如果有任何看起來可疑的去中心化應用程序(dapps),如果用戶因“免費”加密貨幣騙局而意外連接到dapp,則應刪除權限。然而,通常為時已晚,一旦dapp 獲得訪問錢包資金的權限,加密貨幣就會通過應用於dapp 的惡意編碼從用戶那裡竊取。
保護自己免受上述兩種攻擊的最佳方法是永遠不要在線輸入你的助記詞,除非你有意恢復錢包。除此之外,永遠不要連接或授予Web3 錢包權限到你不熟悉的陰暗Web3 網站和dapp 也是一種很好的形式。如果不注意當前的空投網絡釣魚趨勢,這兩種攻擊可能會給毫無戒心的投資者造成重大損失。
你知道有人成為這種網絡釣魚詐騙的受害者嗎?你如何發現加密貨幣網絡釣魚嘗試?在評測中讓我們知道你的想法。
更多熱門新聞萬一你錯過了
資訊來源:由0x資訊編譯自BITCOIN。版權歸原作者所有,未經許可,不得轉載