Nền

Trong hướng dẫn trước đó của chúng tôi về an ninh Web3, chúng tôi đã đề cập đến chủ đề về lừa đảo multisig, thảo luận vềcơ chế của ví đa chữ ký, cách tấn công kẻ tấn công tận dụng chúng và cách bảo vệ ví của bạn khỏi chữ ký độc hại. Trong phần này, chúng tôi sẽ đào sâu vào một chiến lược tiếp thị được sử dụng rộng rãi trong cả ngành công nghiệp truyền thống và ngành công nghiệp tiền điện tử — airdrops.

Airdrops có thể nhanh chóng đưa một dự án từ sự vô danh lên tầm cao, giúp nó nhanh chóng xây dựng cơ sở người dùng và tăng cường khả năng hiển thị trên thị trường. Thông thường, người dùng tham gia vào các dự án Web3 bằng cách nhấp vào các liên kết và tương tác với dự án để nhận các token được airdrop. Tuy nhiên, từ các trang web giả mạo đến các công cụ chứa backdoor, hacker đã đặt bẫy khắp quá trình airdrop. Hướng dẫn này sẽ phân tích các chiêu lừa airdrop phổ biến để giúp bạn tránh những cạm bẫy này.

Airdrop là gì?

Một airdrop xảy ra khi một dự án Web3 phân phối token miễn phí cho các địa chỉ ví cụ thể để tăng cường tầm nhìn của nó và thu hút người dùng sớm. Đây là một trong những phương pháp trực tiếp nhất để các dự án có được một cơ sở người dùng. Airdrops có thể được phân loại chung thành các loại sau dựa trên cách họ được yêu cầu:

• Dựa trên nhiệm vụ: Hoàn thành các nhiệm vụ được chỉ định bởi dự án, như chia sẻ nội dung hoặc thích bài viết.

• Dựa trên tương tác: Thực hiện các hành động như trao đổi token, gửi/nhận token, hoặc hoạt động qua chuỗi.

• Dựa trên việc Sở hữu: Sở hữu các token cụ thể từ dự án để đủ điều kiện nhận airdrop.

• Dựa trên staking: Kiếm token airdrop thông qua đặt cọc tài sản đơn hoặc kép, cung cấp tính thanh khoản hoặc khóa mã thông báo dài hạn.

Rủi ro trong việc yêu cầu Airdrop

Các Chiêu Trò Lừa Đảo Airdrop Giả Mạo

Những lừa đảo này có thể chia thành một số loại:

1. Tài khoản Chính thức bị nạn nhân: Tin tặc có thể kiểm soát tài khoản chính thức của dự án và đăng thông báo giả về airdrop. Ví dụ, thường thấy cảnh báo trên các nền tảng tin tức như “Tài khoản X hoặc Discord của Dự án Y đã bị hack; không nhấp vào các liên kết lừa đảo được chia sẻ bởi tin tặc.” Theo Báo cáo Bảo mật Blockchain và Chống Rửa tiền Nửa đầu năm 2024 của chúng tôi, chỉ riêng trong nửa đầu năm 2024 đã có 27 vụ việc tương tự. Người dùng, tin tưởng vào tài khoản chính thức, có thể nhấp vào các liên kết này và bị chuyển hướng đến các trang web lừa đảo giả mạo là trang airdrop. Nếu họ nhập khóa riêng tư, cụm từ gốc hoặc cấp quyền, tin tặc có thể đánh cắp tài sản của họ.

1. Mô phỏng trong phần bình luận: Những kẻ tấn công thường tạo tài khoản dự án giả và đăng bài trong phần bình luận trên các kênh truyền thông xã hội của dự án thật, tuyên bố cung cấp airdrop. Người dùng không cẩn thận có thể theo đường link này đến các trang web lừa đảo. Ví dụ, đội ngũ an ninh SlowMist đã phân tích các chiến thuật này và đưa ra các khuyến nghị trong một bài viết có tiêu đề “Hãy cẩn thận với Mô phỏng trong Phần bình luận.” Ngoài ra, sau khi một airdrop hợp lệ được thông báo, những kẻ tấn công sẽ nhanh chóng đăng các liên kết lừa đảo bằng cách sử dụng các tài khoản giả mạo giống như các tài khoản chính thức. Nhiều người dùng đã bị lừa để cài đặt các ứng dụng độc hại hoặc ký gửi giao dịch trên các trang web lừa đảo.

1. Cuộc tấn công Kỹ thuật Xã hội: Trong một số trường hợp, kẻ lừa đảo xâm nhập vào các nhóm dự án Web3, nhắm vào người dùng cụ thể và sử dụng các kỹ thuật kỹ thuật xã hội để lừa dối họ. Họ có thể giả danh nhân viên hỗ trợ hoặc thành viên cộng đồng hữu ích, đề nghị hướng dẫn người dùng qua quá trình yêu cầu airdrop, nhưng thực tế là đánh cắp tài sản của họ. Người dùng nên cảnh giác và không tin tưởng vào những đề nghị giúp đỡ không được yêu cầu từ những người tự xưng là đại diện chính thức.

Token Airdrop “miễn phí”

Trong khi hầu hết các airdrop yêu cầu người dùng hoàn thành các nhiệm vụ, có những trường hợp token xuất hiện trong ví của bạn mà không cần thực hiện bất kỳ hành động nào từ phía bạn. Kẻ tấn công thường airdrop các token vô giá trị vào ví của bạn, hy vọng bạn sẽ tương tác với chúng bằng cách chuyển tiền, xem hoặc cố gắng giao dịch chúng trên một sàn giao dịch phi tập trung. Tuy nhiên, khi cố gắng tương tác với các Scam NFT này, bạn có thể gặp thông báo lỗi yêu cầu bạn truy cập vào một trang web để “mở khóa mục của bạn”. Đây là một cái bẫy dẫn đến một trang web lừa đảo.

Nếu người dùng truy cập trang web lừa đảo được liên kết bởi một Scam NFT, kẻ tấn công có thể thực hiện các hành động sau:

• Tiến hành "mua hàng không chi phí" các NFT có giá trị (tham khảo phân tích lừa đảo NFT "mua hàng không chi phí").

• Đánh cắp các token có giá trị cao thông qua việc ủy quyền Approve hoặc chữ ký Permit.

• Lấy đi tài sản bản địa.

Tiếp theo, hãy xem xét cách mà hacker có thể đánh cắp phí gas của người dùng thông qua một hợp đồng độc hại được thiết kế cẩn thận.

Trước tiên, hacker đã tạo một hợp đồng độc hại có tên GPT trên Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) và hấp dẫn người dùng tương tác với nó bằng cách airdrop token.

Khi người dùng tương tác với hợp đồng độc hại này, họ sẽ được yêu cầu chấp thuận việc hợp đồng sử dụng token trong ví của họ. Nếu người dùng chấp thuận yêu cầu này, hợp đồng độc hại sẽ tự động tăng giới hạn gas dựa trên số dư ví của người dùng, dẫn đến tiêu thụ gas cao hơn trong các giao dịch sau này.

Bằng cách tận dụng mức giới hạn gas cao do người dùng cung cấp, hợp đồng độc hại sử dụng gas dư thừa để tạo ra CHI tokens (CHI tokens có thể được sử dụng để bồi thường gas). Sau khi tích luỹ một số lượng lớn CHI tokens, hacker có thể đốt chúng để nhận được hoàn trả gas khi hủy hợp đồng.

https://x.com/SlowMist_Team/status/1640614440294035456

Qua phương pháp này, hacker thông minh lợi dụng phí gas của người dùng, trong khi người dùng có thể không nhận ra rằng họ đã trả thêm phí gas. Ban đầu, người dùng mong đợi lợi nhuận từ việc bán các token được airdrop nhưng lại mất tài sản bản địa của họ thay vì.

Công cụ cửa sau

https://x.com/evilcos/status/1593525621992599552

Trong quá trình đòi hỏi airdrops, một số người dùng cần phải tải xuống các plugin cho các nhiệm vụ như dịch hoặc kiểm tra tính hiếm của token. Tuy nhiên, tính bảo mật của các plugin này đang bị nghi ngờ và một số người dùng không tải chúng từ nguồn chính thức, làm tăng nguy cơ tải xuống các plugin có cửa sau.

Ngoài ra, chúng tôi đã nhận thấy có các dịch vụ trực tuyến bán kịch bản để yêu cầu airdrop, tuyên bố tự động hóa tương tác hàng loạt một cách hiệu quả. Tuy nhiên, xin lưu ý rằng tải xuống và chạy các kịch bản chưa được xác minh và xem xét là vô cùng nguy hiểm, vì bạn không thể chắc chắn về nguồn gốc của kịch bản hoặc chức năng thực tế của nó. Các kịch bản này có thể chứa mã độc hại, gây ra các mối đe dọa tiềm năng như đánh cắp khóa riêng tư hoặc cụm từ gốc, hoặc thực hiện các hành động trái phép khác. Hơn nữa, một số người dùng, khi tham gia vào các hoạt động nguy hiểm như vậy, không có phần mềm chống vi-rút được cài đặt hoặc đã tắt nó, điều này có thể ngăn chặn họ phát hiện xem thiết bị của họ đã bị tổn hại bởi phần mềm độc hại, dẫn đến thiệt hại nghiêm trọng hơn.

Kết luận

Trong hướng dẫn này, chúng tôi đã nêu bật các rủi ro khác nhau liên quan đến việc yêu cầu airdrop bằng cách phân tích các chiến thuật lừa đảo thông thường. Airdrop là một chiến lược tiếp thị phổ biến, nhưng người dùng có thể giảm thiểu rủi ro mất tài sản trong quá trình bằng cách thực hiện các biện pháp phòng ngừa sau đây:

• Xác minh kỹ lưỡng: Luôn kiểm tra lại URL khi truy cập vào trang web airdrop. Xác nhận chúng thông qua tài khoản chính thức hoặc các thông báo, và cân nhắc cài đặt các plugin phát hiện rủi ro lừa đảo như Scam Sniffer.

• Sử dụng Ví SegreGated: Giữ chỉ số tiền nhỏ trong ví được sử dụng cho airdrop, trong khi lưu trữ số tiền lớn trong ví lạnh.

• Hãy cẩn thận với Airdrop không rõ nguồn gốc: Đừng tương tác hoặc chấp nhận giao dịch liên quan đến token airdrop từ các nguồn không rõ.

• Kiểm tra Giới hạn Gas: Luôn xem xét giới hạn gas trước khi xác nhận giao dịch, đặc biệt là nếu nó có vẻ quá cao.

• Sử dụng phần mềm diệt virus đáng tin cậy: Để bật bảo vệ thời gian thực và thường xuyên cập nhật phần mềm diệt virus để đảm bảo các mối đe dọa mới nhất bị chặn.

Disclaimer：

1. Bài viết này được sao chép từ [SunSec], All copyrights belong to the original author [SlowMist]. Nếu có bất kỳ ý kiến ​​nào về việc tái bản này, vui lòng liên hệ với Học cửađội ngũ và họ sẽ xử lý nhanh chóng.
2. Tuyên bố từ chối trách nhiệm về trách nhiệm: Quan điểm và ý kiến được thể hiện trong bài viết này chỉ là quan điểm cá nhân của tác giả và không đại diện cho bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi nhóm Gate Learn. Trừ khi được đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết dịch là cấm.