Web3 安全入门避坑指南|空投骗局
在上一期 Web3 安全入门避坑指南中,我们主要讲解了多签钓鱼的相关知识,包括多签机制、造成多签的原因及如何避免钱包被恶意多签等内容。本期我们要讲解的是一种无论在传统行业还是加密领域,都被视为有效的营销手段 —— 空投。
空投能够在短时间内将项目从默默无闻推向大众视野,迅速积累用户基础,提升市场影响力。用户在参与 Web3 项目时,需要点击相关链接、与项目方交互以获取空投代币,然而从高仿网站到带后门的工具,黑客早已在用户领空投过程的上下游布满了陷阱。因此,本期我们将通过分析一些典型的空投骗局来讲解相关风险,帮助大家避坑。
Web3 项目方为了增加项目的知名度和实现初期用户的积累,常常会免费向特定钱包地址分发代币,这一行为被称为“空投”。对项目方而言,这是获得用户最直接的方式。根据获取空投的方式,空投通常可以分为以下几类:
假空投骗局
此类骗局又可以细分为以下几种:
1. 黑客盗取项目方的官方账号发布假空投的消息。我们经常可以在资讯平台上看到“某项目的 X 账号或者 Discord 账号被黑,请广大用户不要点击黑客发布的钓鱼链接”的安全提醒。据慢雾 2024 上半年区块链安全与反洗钱报告的数据,仅 2024 上半年,项目方账号被黑事件就有 27 件。用户基于对官方账号的信任而点击这些链接,进而被引导至伪装成空投的钓鱼网站。一旦在钓鱼网站上输入了私钥/助记词或授权了相关权限,黑客就能盗走用户的资产。
2. 黑客使用高仿的项目方账号在项目方官方真实账号的评论区刷留言,发布领取空投的消息,诱导用户点击钓鱼链接。此前慢雾安全团队分析过这类手法并提出了应对建议,见真假项目方 | 警惕评论区高仿号钓鱼;此外,在真项目方发布空投的消息后,黑客也会紧随其后,在社交平台上使用高仿账号大量发布包含钓鱼链接的动态,许多用户因未仔细辨别而安装了虚假 APP 或打开钓鱼网站进行了签名授权的操作。
- 星际资讯
免责声明:投资有风险,入市须谨慎。本资讯不作为投资建议。