在加密貨幣、去中心化金融(defi) 和Web3 的世界中,空投在業界已司空見慣。然而,雖然空投聽起來像是免費的錢,但空投網絡釣魚詐騙的趨勢正在增長,當人們試圖獲得所謂的“免費”加密資產時,他們會竊取他們的錢。以下是攻擊者使用空投網絡釣魚詐騙竊取資金的兩種不同方式,以及如何保護自己。
空投並不總是意味著“免費加密”——許多空投贈品促銷活動都在搶你
空投一直是免費加密資金的代名詞,以至於一種稱為空投網絡釣魚的加密騙局越來越普遍。如果您是加密社區的參與者並使用Twitter 或Facebook 等社交媒體平台,您可能已經看到許多垃圾郵件帖子,廣告各種類型的空投。
通常,一個流行的Twitter 加密賬戶會發布一條推文,然後是大量詐騙者宣傳空投網絡釣魚嘗試,還有很多賬戶說他們收到了免費資金。大多數人不會因為這些空投騙局而墮落,但是由於空投被認為是免費的加密貨幣,因此有很多人因成為此類攻擊的受害者而損失了資金。
第一次攻擊在社交媒體上使用相同的廣告方法,因為許多人或機器人會提供指向空投網絡釣魚詐騙網頁的鏈接。可疑網站可能看起來非常合法,甚至從流行的Web3 項目中復制了一些元素,但最終,詐騙者正在尋求竊取資金。免費空投騙局可能是未知的加密代幣,也可能是流行的現有數字資產,例如 比特幣, 以太坊、SHIB、DOGE 等。
第一次攻擊通常表明空投是可接收的,但此人必須使用兼容的Web3 錢包來取回所謂的“免費”資金。該網站將指向一個頁面,該頁面顯示所有流行的Web3 錢包,如Metamask 和其他錢包,但是這一次,當點擊錢包的鏈接時會彈出一個錯誤,並且該網站會要求用戶輸入助記詞。
要獲得支持,請打開MetaMask 並導航到下拉菜單中的“支持”或“獲取幫助”。不要相信任何向您發送直接消息的人。在任何情況下,您都不應該將您的秘密恢復短語提供給任何人或將其輸入任何網站!
— MetaMask 支持(@MetaMaskSupport) 2022 年4 月29 日
這就是事情變得陰暗的地方,因為除非用戶正在積極恢復錢包,否則Web3 錢包永遠不會要求種子或12-24 助記詞。然而,毫無戒心的空投網絡釣魚詐騙用戶可能會認為錯誤是合法的,並將他們的種子輸入到網頁中,最終導致錢包中存儲的所有資金丟失。
基本上,用戶只是通過Web3 錢包錯誤頁面要求助記詞而將私鑰提供給攻擊者。如果未知來源提示,一個人永遠不應該輸入他們的種子或12-24 助記詞,除非需要恢復錢包,否則真的不需要在線輸入助記詞。
給一個陰暗的Dapp 權限不是最好的主意
第二次攻擊有點棘手,攻擊者使用代碼的技術來搶劫Web3 錢包用戶。同樣,空投網絡釣魚詐騙將在社交媒體上做廣告,但這次當該人訪問門戶網站時,他們可以使用他們的Web3 錢包“連接”到該網站。
然而,攻擊者編寫代碼的方式使得它不是授予站點讀取餘額的權限,而是最終授予站點完全權限以竊取Web3 錢包中的資金。這可以通過簡單地將Web3 錢包連接到詐騙網站並授予其權限來實現。可以通過簡單地不連接到該站點並走開來避免攻擊,但是有很多人已經陷入了這種網絡釣魚攻擊。
這是最新的網絡釣魚詐騙
1️⃣ 空投代幣
2️⃣ 建立一個同名的網站,這樣很容易找到
3️⃣ 當您發現似乎在為這個代幣下注時,Approve txn 會無限次使用其他代幣(即SNX)然後他們會耗盡你錢包裡的代幣。 pic.twitter.com/vICIeC5rGk
— DeFi 爸爸⟠ defidad.eth (@DeFi_Dad) 2021 年12 月20 日
保護錢包的另一種方法是確保錢包的Web3 權限連接到用戶信任的站點。如果有任何去中心化應用程序(dapps)看起來可疑,如果用戶因“免費”加密騙局而意外連接到dapp,則應刪除權限。然而,通常為時已晚,一旦dapp 獲得訪問錢包資金的權限,加密貨幣就會通過應用於dapp 的惡意編碼從用戶那裡竊取。
保護自己免受上述兩種攻擊的最佳方法是永遠不要在線輸入您的助記詞,除非您有意恢復錢包。除此之外,永遠不要連接或授予Web3 錢包權限到您不熟悉的陰暗Web3 網站和dapp 也是一種很好的形式。如果不注意當前的空投網絡釣魚趨勢,這兩種攻擊可能會給毫無戒心的投資者造成重大損失。
你知道有人成為這種網絡釣魚詐騙的受害者嗎?您如何發現加密網絡釣魚嘗試?在評論中讓我們知道您的想法。
圖片來源:Shutterstock,Pixabay,Wiki Commons
免責聲明: 本文僅供參考。它不是直接要約或要約的購買或出售邀請,也不是對任何產品、服務或公司的推薦或認可。 比特幣網 不提供投資、稅務、法律或會計建議。對於因使用或依賴本文提及的任何內容、商品或服務而造成或據稱造成或與之相關的任何損害或損失,本公司和作者均不直接或間接負責。