В мире криптовалют, децентрализованных финансов (defi) и Web3 аирдропы стали обычным явлением в отрасли. Однако, несмотря на то, что аирдропы звучат как бесплатные деньги, наблюдается растущая тенденция фишинговых афер, которые крадут деньги людей, когда они пытаются получить так называемые «бесплатные» криптоактивы. Ниже мы рассмотрим два разных способа, которыми злоумышленники используют фишинговые схемы airdrop для кражи средств, а также то, как вы можете защитить себя.
Airdrops не всегда означают «бесплатную криптовалюту» — многие рекламные акции Airdrop хотят вас ограбить
Airdrops были синонимом бесплатных крипто-фондов, настолько, что растущую криптовалютную аферу, называемую фишингом с помощью airdrop, стало преобладать. Если вы являетесь участником криптосообщества и используете социальные сети, такие как Twitter или Facebook, вы, вероятно, видели ряд спам-сообщений, рекламирующих разного рода аирдропы.
Обычно популярный криптоаккаунт в Твиттере публикует твит, а за ним следует множество мошенников, рекламирующих попытки фишинга через аирдроп, и множество аккаунтов, сообщающих, что они получили бесплатные деньги. Большинство людей не попадутся на эти аирдропы, но поскольку аирдропы считаются бесплатными криптовалютами, многие люди потеряли средства, став жертвами подобных атак.
В первой атаке используется тот же метод рекламы в социальных сетях, когда несколько людей или ботов создают ссылку, ведущую на веб-страницу фишинговых мошенников. Подозрительный сайт может выглядеть вполне легитимно и даже копировать некоторые элементы из популярных проектов Web3, но в конечном итоге мошенники хотят украсть средства. Мошенничество с бесплатной раздачей может быть неизвестным токеном криптовалюты или популярным существующим цифровым активом, например BTC, ETH, ШИБ, ДОГ и многое другое.
Первая атака обычно показывает, что аирдроп можно получить, но человек должен использовать совместимый кошелек Web3, чтобы получить так называемые «бесплатные» средства. Веб-сайт приведет к странице, на которой показаны все популярные кошельки Web3, такие как Metamask и другие, но на этот раз при нажатии на ссылку кошелька появится сообщение об ошибке, и сайт запросит у пользователя сид-фразу.
Чтобы получить поддержку, откройте MetaMask и перейдите к «Поддержка» или «Получить помощь» в раскрывающемся меню. Не доверяйте никому, кто отправил вам личное сообщение. НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ вы никогда не должны передавать свою секретную фразу восстановления кому-либо или вводить ее на какой-либо сайт!
— Поддержка MetaMask (@MetaMaskSupport) 29 апреля 2022
Здесь все становится неясным, потому что кошелек Web3 никогда не будет запрашивать начальное число или мнемоническую фразу 12-24, если только пользователь не будет активно восстанавливать кошелек. Тем не менее, ничего не подозревающие пользователи фишинговой аферы могут решить, что ошибка является законной, и ввести свои сид-фразы на веб-страницу, что в конечном итоге приведет к потере всех средств, хранящихся в кошельке.
По сути, пользователь просто передал приватные ключи злоумышленникам, попав на страницу ошибки кошелька Web3 с запросом мнемонической фразы. Человек никогда не должен вводить свою сид-фразу или мнемоническую фразу 12-24, если ее попросит неизвестный источник, и если нет необходимости восстанавливать кошелек, на самом деле никогда не нужно вводить сид-фразу онлайн.
Предоставление разрешений Shady Dapp — не лучшая идея
Вторая атака немного сложнее, и злоумышленник использует технические особенности кода, чтобы ограбить пользователя кошелька Web3. Точно так же фишинговая афера airdrop будет рекламироваться в социальных сетях, но на этот раз, когда человек посещает веб-портал, он может использовать свой кошелек Web3 для «подключения» к сайту.
Однако злоумышленник написал код таким образом, что вместо того, чтобы предоставить сайту доступ для чтения к балансу, пользователь в конечном итоге дает сайту полное разрешение на кражу средств в кошельке Web3. Это может произойти, если просто подключить кошелек Web3 к мошенническому сайту и предоставить ему разрешения. Атаку можно избежать, просто не подключаясь к сайту и уйдя, но есть много людей, которые попались на эту фишинговую атаку.
Вот последняя фишинговая афера
1️⃣ Аирдроп токена
2️⃣ Создайте сайт с таким же названием, чтобы его было легко найти
3️⃣ Когда вы обнаружите, что, по-видимому, делается ставка для этого токена, одобрение txn дает неограниченное расходование других токенов (например, SNX)Затем они истощают ваш кошелек токена. pic.twitter.com/vICIEC5rGk
- DeFi Dad ⟠ defidad.eth (@DeFi_Dad) 20 декабря 2021
Еще один способ защитить кошелек — убедиться, что разрешения Web3 кошелька подключены к сайтам, которым пользователь доверяет. Если есть какие-либо децентрализованные приложения (dapps), которые кажутся сомнительными, пользователи должны удалить разрешения, если они случайно подключились к dapp, попав на «бесплатное» мошенничество с криптовалютой. Однако обычно бывает слишком поздно, и как только децентрализованное приложение получает разрешение на доступ к средствам кошелька, криптовалюта украдена у пользователя с помощью вредоносного кода, примененного к децентрализованному приложению.
Лучший способ защитить себя от двух упомянутых выше атак — никогда не вводить свою сид-фразу онлайн, если вы не намеренно восстанавливаете кошелек. Наряду с этим, также является хорошим тоном никогда не подключаться и не давать разрешения кошелька Web3 для сомнительных веб-сайтов Web3 и децентрализованных приложений, с которыми вы не знакомы. Эти две атаки могут причинить большие убытки ничего не подозревающим инвесторам, если они не будут осторожны с текущей тенденцией фишинга с раздачей.
Знаете ли вы кого-нибудь, кто стал жертвой этого типа фишинга? Как вы обнаруживаете попытки крипто-фишинга? Дайте нам знать ваши мысли в комментариях.
Кредиты изображения: Shutterstock, Pixabay, Wiki Commons
Отказ от ответственности: Эта статья только в ознакомительных целях. Это не прямое предложение или предложение о покупке или продаже, а также рекомендация или одобрение каких-либо продуктов, услуг или компаний. Bitcoin.com не предоставляет инвестиционные, налоговые, юридические или бухгалтерские консультации. Ни компания, ни автор не несут прямой или косвенной ответственности за любой ущерб или убытки, вызванные или предположительно вызванные или связанные с использованием любого контента, товаров или услуг, упомянутых в этой статье, или в связи с ними.
Источник: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/