背景

在上一期 Web3 安全入門避坑指南中,我們主要講解了多籤釣魚的相關知識,包括多籤機制、造成多籤的原因及如何避免錢包被惡意多籤等內容。本期我們要講解的是一種無論在傳統行業還是加密領域,都被視爲有效的營銷手段 —— 空投。

空投能夠在短時間內將項目從默默無聞推向大衆視野,迅速積累用戶基礎,提升市場影響力。用戶在參與 Web3 項目時,需要點擊相關鏈接、與項目方交互以獲取空投代幣,然而從高仿網站到帶後門的工具,黑客早已在用戶領空投過程的上下游佈滿了陷阱。因此,本期我們將通過分析一些典型的空投騙局來講解相關風險,幫助大家避坑。

什麼是空投

Web3 項目方爲了增加項目的知名度和實現初期用戶的積累,常常會免費向特定錢包地址分發代幣,這一行爲被稱爲“空投”。對項目方而言,這是獲得用戶最直接的方式。根據獲取空投的方式,空投通常可以分爲以下幾類:

  • 任務型:完成項目方指定的任務,如轉發、點贊等。

  • 交互型:完成兌換代幣、發/收代幣、跨鏈等操作。

  • 持有型:持有項目方指定的代幣以獲得空投代幣。

  • 質押型:通過單幣或雙幣質押、提供流動性或進行長期鎖倉來獲得空投代幣。

領空投時的風險

假空投騙局

此類騙局又可以細分爲以下幾種:

1. 黑客盜取項目方的官方賬號發佈假空投的消息。我們經常可以在資訊平臺上看到“某項目的 X 賬號或者 Discord 賬號被黑,請廣大用戶不要點擊黑客發佈的釣魚鏈接”的安全提醒。據慢霧 2024 上半年區塊鏈安全與反洗錢報告的數據,僅 2024 上半年,項目方賬號被黑事件就有 27 件。用戶基於對官方賬號的信任而點擊這些鏈接,進而被引導至僞裝成空投的釣魚網站。一旦在釣魚網站上輸入了私鑰/助記詞或授權了相關權限,黑客就能盜走用戶的資產。

2. 黑客使用高仿的項目方賬號在項目方官方真實賬號的評論區刷留言,發佈領取空投的消息,誘導用戶點擊釣魚鏈接。此前慢霧安全團隊分析過這類手法並提出了應對建議,見真假項目方 | 警惕評論區高仿號釣魚;此外,在真項目方發佈空投的消息後,黑客也會緊隨其後,在社交平臺上使用高仿賬號大量發佈包含釣魚鏈接的動態,許多用戶因未仔細辨別而安裝了虛假 APP 或打開釣魚網站進行了簽名授權的操作。

(https://x.com/im23pds/status/1765577919819362702)

3. 第三種詐騙套路更可惡,妥妥的騙子,他們潛伏在 Web3 項目的羣組裏,挑選目標用戶進行社會工程攻擊,有時以空投爲誘餌,“教”用戶按照要求轉移代幣以獲取空投。請廣大用戶提高警惕,不要輕易相信主動聯繫你的“官方客服”或是“教”你如何操作的網友,這些人大概率是騙子,你只是想領個空投,結果卻損失慘重。

“白給”的空投代幣

開篇提到,用戶往往需要完成某種任務才能獲取空投,我們接下來看看“白給“用戶代幣的情況。黑客會向用戶的錢包空投沒有實際價值的代幣,用戶看到這些代幣,可能會嘗試與之交互,例如轉移、查看或在去中心化交易所上進行交易。然而我們逆向分析一個 Scam NFT 的智能合約發現,當嘗試掛單或轉移這個 Scam NFT 時會失敗,然後出現錯誤提示“Visit website to unlock your item”,誘導用戶訪問釣魚網站。
 如果用戶訪問了 Scam NFT 引導的釣魚網站,黑客便可能進行以下操作:

  • 批量“零元購”有價值的 NFT,見“零元購” NFT 釣魚分析

  • 拿走高價值 Token 的 Approve 授權或 Permit 簽名

  • 拿走原生資產

接下來我們再看看黑客如何通過一個精心設計的惡意合約竊取用戶的 Gas 費。

首先,黑客在 BSC 上創建了一個名爲 GPT 的惡意合約 (0x513C285CD76884acC377a63DC63A4e83D7D21fb5),通過空投代幣吸引用戶進行交互。

用戶與該惡意合約交互時,出現了需要批准該合約使用錢包中代幣的請求。如果用戶批准了這個請求,惡意合約會根據用戶錢包中的餘額,自動提高 Gas 限額,這使得後續的交易消耗更多的 Gas 費。

利用用戶提供的高 Gas 限額,惡意合約使用多餘的 Gas 來鑄造 CHI 代幣(CHI 代幣可以用於 Gas 補償)。惡意合約積累了大量的 CHI 代幣後,黑客可以通過燃燒 CHI 代幣,獲得合約銷燬時返還的 Gas 補償。

(https://x.com/SlowMist_Team/status/1640614440294035456)

通過這種方式,黑客巧妙地利用用戶的 Gas 費爲自己牟利,而用戶可能並未察覺到他們已經支付了額外的 Gas 費。用戶本以爲可以通過出售空投代幣獲利,結果卻被盜取了原生資產。

帶後門的工具

 (https://x.com/evilcos/status/1593525621992599552)

領空投的過程中,一些用戶需要下載翻譯或查詢代幣稀有度之類的插件,這些插件的安全性存疑,且有的用戶下載插件時沒有從官方渠道下載,這就使得下載到帶有後門的插件的可能性大大增加。

此外,我們還注意到網上有出售領空投腳本的服務,聲稱可以通過運行腳本完成自動批量交互,聽起來挺高效的,但是請注意,下載未經審查和驗證的腳本存在極大的風險,因爲你無法確定腳本的來源和它的真實功能。腳本可能包含惡意代碼,潛在的威脅包括盜取私鑰/助記詞或者執行其他未授權的操作。而且,一些用戶在執行相關類型的風險操作時,未安裝或是關閉了殺毒軟件,導致未能及時發現設備中了木馬,進而受損。

總結

在本期指南中,我們主要通過分析騙局的方式爲大家講解領空時會有哪些風險,現在許多項目都把空投作爲營銷手段,用戶可以通過以下措施減少在領空投過程中資產受損的可能性:

  • 多方驗證,訪問空投網站時,請仔細檢查網址,可以通過項目的官方賬號或公告渠道確認,還可以安裝釣魚風險阻斷插件(如 Scam Sniffer),協助識別釣魚網站。

  • 錢包分級,用於領空投的錢包存放小額資金,把大額資金放在冷錢包。

  • 對於從未知來源收到的空投代幣要保持警惕,不要輕易執行授權/簽名操作。

  • 注意檢查交易的 Gas 限額是否異常高。

  • 使用知名殺毒軟件,如卡巴斯基、AVG 等,保持實時防護開啓,並隨時更新最新病毒庫。