什么是空投?
Web3 项目方为了增加项目的知名度和实现初期用户的积累,常常会免费向特定钱包地址分发代币,这一行为被称为“空投”。对项目方而言,这是获得用户最直接的方式。根据获取空投的方式,空投通常可以分为以下几类:
- 任务型:完成项目方指定的任务,如转发、点赞等。
- 交互型:完成兑换代币、发/收代币、跨链等操作。
- 持有型:持有项目方指定的代币以获得空投代币。
- 质押型:通过单币或双币质押、提供流动性或进行长期锁仓来获得空投代币。
领空投时的风险
假空投骗局
假空投骗局是黑客常用的手段之一,主要包括以下几种:
- 盗取项目方的官方账号发布假空投的消息:黑客盗取项目方的官方账号,发布假空投的消息,诱导用户点击钓鱼链接。据统计,仅2024年上半年,项目方账号被黑事件就有27件。用户基于对官方账号的信任而点击这些链接,进而被引导至伪装成空投的钓鱼网站。
- 在项目方官方真实账号的评论区刷留言发布领取空投的消息:黑客使用高仿的项目方账号在项目方官方真实账号的评论区刷留言,发布领取空投的消息,诱导用户点击钓鱼链接。
- 社会工程攻击:黑客潜伏在 Web3 项目的群组里,挑选目标用户进行社会工程攻击,有时以空投为诱饵,“教”用户按照要求转移代币以获取空投。广大用户应提高警惕,不要轻易相信主动联系你的“官方客服”或是“教”你如何操作的网友。
“白给”的空投代币
黑客会向用户的钱包空投没有实际价值的代币,用户看到这些代币后可能会尝试与之交互,例如转移、查看或在去中心化交易所上进行交易。黑客会通过逆向分析 Scam NFT 的智能合约,当用户尝试挂单或转移这个 Scam NFT 时会失败,然后出现错误提示“Visit website to unlock your item”,诱导用户访问钓鱼网站。黑客可能会通过钓鱼网站进行以下操作:
- 批量“零元购”有价值的 NFT
- 拿走高价值 Token 的 Approve 授权或 Permit 签名
- 拿走原生资产
带后门的工具
在领空投的过程中,一些用户需要下载翻译或查询代币稀有度之类的插件,这些插件的安全性存疑。用户下载插件时如果没有从官方渠道下载,那么下载到带有后门的插件的可能性大大增加。此外,网上有出售领空投脚本的服务,声称可以通过运行脚本完成自动批量交互,听起来挺高效的,但请注意,下载未经审查和验证的脚本存在极大的风险。一些用户在执行相关类型的风险操作时,未安装或是关闭了杀毒软件,导致未能及时发现设备中了木马,进而受损。
避坑指南
为了减少在领空投过程中资产受损的可能性,用户可以采取以下措施:
- 多方验证:访问空投网站时,请仔细检查网址,可以通过项目的官方账号或公告渠道确认,还可以安装钓鱼风险阻断插件(如 Scam Sniffer),协助识别钓鱼网站。
- 钱包分级:用于领空投的钱包存放小额资金,把大额资金放在冷钱包。
- 警惕未知来源的空投代币:对于从未知来源收到的空投代币要保持警惕,不要轻易执行授权/签名操作。
- 检查交易的 Gas 限额:注意检查交易的 Gas 限额是否异常高。
- 使用知名杀毒软件:使用卡巴斯基、AVG 等知名杀毒软件,保持实时防护开启,并随时更新最新病毒库。
通过以上措施,用户可以在享受空投带来的福利的同时,最大限度地保护自己的资产安全。
慢雾科技官网:慢雾科技官网
慢雾区官网:慢雾区官网
慢雾 GitHub:慢雾 GitHub
Views: 0