בעולם המטבעות הקריפטוגרפיים, הפיננסים המבוזרים (defi) ו-Web3, נפילות האוויר הפכו לדבר שבשגרה בתעשייה. עם זאת, בעוד שמטיפות אוויר נשמעות כמו כסף חינם, יש מגמה גוברת של הונאות דיוג באוויר שגונבות כסף של אנשים כאשר הם מנסים להשיג את מה שנקרא נכסי קריפטו 'חינם'. להלן מבט על שתי דרכים שונות שבהן תוקפים משתמשים בהונאות דיוג באוויר כדי לגנוב כספים וכיצד אתה יכול להגן על עצמך.
Airdrops לא תמיד אומרות 'קריפטו חינם' - מבצעי מתנות רבים של Airdrop מחפשים לשדוד אותך
Airdrops היו שם נרדף לקרנות קריפטו בחינם, עד כדי כך שהונאת קריפטו מתגברת בשם Airdrop Phishing הפכה נפוצה. אם אתה משתתף בקהילת הקריפטו ומשתמש בפלטפורמות מדיה חברתית כמו טוויטר או פייסבוק, סביר להניח שראית מספר פוסטים דואר זבל המפרסמים טיפות אוויר מכל הסוגים.
בדרך כלל, חשבון קריפטו פופולרי בטוויטר מבצע ציוץ ואחריו שלל רמאים המפרסמים ניסיונות דיוג באוויר והרבה חשבונות האומרים שהם קיבלו כסף בחינם. רוב האנשים לא יתגעגעו להונאות אייר-הורדות הללו, אבל מכיוון ש-airdrops נחשבות לקריפטו בחינם, הייתה חבורה של אנשים שהפסידו כספים על ידי נפילת קורבן לסוגים אלה של התקפות.
המתקפה הראשונה משתמשת באותה שיטת פרסום במדיה החברתית, מכיוון שמספר אנשים או בוטים שולחים קישור שמוביל לדף האינטרנט של הונאות דיוג באוויר. האתר החשוד עשוי להיראות לגיטימי מאוד ואף להעתיק חלק מהאלמנטים מפרויקטי Web3 פופולריים, אך בסופו של דבר, הרמאים מחפשים לגנוב כספים. הונאת Airdrop החינמית יכולה להיות אסימון קריפטו לא ידוע, או שזה יכול להיות גם נכס דיגיטלי קיים פופולרי כמו BTC, ETH, SHIB, DOGE ועוד.
ההתקפה הראשונה מראה בדרך כלל שהטיפה ניתנת לקבלה, אך האדם חייב להשתמש בארנק Web3 תואם כדי לאחזר את הכספים המכונה 'חינם'. האתר יוביל לעמוד שמציג את כל ארנקי ה-Web3 הפופולריים כמו Metamask ואחרים, אך הפעם, בלחיצה על הקישור של הארנק תצוץ שגיאה והאתר יבקש מהמשתמש את ביטוי ה-seed.
כדי לקבל תמיכה, פתח את MetaMask ונווט אל "תמיכה" או "קבל עזרה" בתפריט הנפתח. אל תסמוך על מי ששלח לך הודעה ישירה. בשום פנים ואופן לא צריך לתת למישהו את משפט השחזור הסודי שלך או להזין אותו בכל אתר!
- תמיכת MetaMask (@MetaMaskSupport) אפריל 29, 2022
זה המקום שבו הדברים נעשים מפוקפקים מכיוון שארנק Web3 לעולם לא יבקש את ה-seed או הביטוי של 12-24 מנמוניות אלא אם כן המשתמש משחזר ארנק באופן פעיל. עם זאת, משתמשי הונאת פישינג תמימים ב-airdrop עשויים לחשוב שהשגיאה לגיטימית ולהזין את המקור שלהם לדף האינטרנט, מה שבסופו של דבר מוביל לאובדן כל הכספים המאוחסנים בארנק.
בעיקרון, המשתמש פשוט נתן את המפתחות הפרטיים לתוקפים על ידי נפילה של דף השגיאה של ארנק Web3 המבקש ביטוי מנמוני. אדם לא צריך להזין את ה-seed שלו או את 12-24 ביטוי הזכרונות שלו אם הוא מתבקש ממקור לא ידוע, אלא אם כן יש צורך לשחזר ארנק, באמת לעולם אין צורך להזין ביטוי seed באינטרנט.
מתן הרשאות ל-Dapp Shady אינו הרעיון הטוב ביותר
המתקפה השנייה קצת יותר מסובכת, והתוקף משתמש בתכונות הטכניות של הקוד כדי לשדוד את משתמש ארנק ה-Web3. באופן דומה, הונאת ההתחזות של Airdrop תפורסם ברשתות החברתיות, אך הפעם כאשר האדם מבקר בפורטל האינטרנט, הוא יכול להשתמש בארנק ה-Web3 שלו כדי "להתחבר" לאתר.
עם זאת, התוקף כתב את הקוד באופן שגורם לכך שבמקום לתת לאתר גישת קריאה ליתרות, המשתמש נותן בסופו של דבר לאתר הרשאה מלאה לגנוב את הכספים בארנק ה-Web3. זה יכול לקרות פשוט על ידי חיבור ארנק Web3 לאתר הונאה ומתן לו הרשאות. אפשר להימנע מהתקיפה פשוט על ידי אי חיבור לאתר והסתלקות, אבל יש הרבה אנשים שנפלו למתקפת הדיוג הזו.
הנה הונאת הדיוג האחרונה
1️⃣ הטלת אסימון באוויר
2️⃣ בנה אתר עם אותו שם כדי למצוא אותו בקלות
3️⃣ כאשר אתה מוצא מה שנראה כמי שמתאים עבור האסימון הזה, ה-Approve txn נותן הוצאה בלתי מוגבלת של אסימונים אחרים (כלומר SNX)ואז הם מרוקנים את הארנק שלך מהאסימון. pic.twitter.com/viciec5rgk
- אבא DeFi ⟠ defidad.eth (@DeFi_Dad) דצמבר 20, 2021
דרך נוספת לאבטח את הארנק היא לוודא שהרשאות ה-Web3 של הארנק מחוברות לאתרים שהמשתמש סומך עליהם. אם יש יישומים מבוזרים (dapps) שנראים מפוקפקים, על המשתמשים להסיר הרשאות אם הם התחברו בטעות ל-dapp על ידי נפילה של הונאת הקריפטו ה'חינם'. עם זאת, בדרך כלל, זה מאוחר מדי, וברגע של-dapp יש הרשאה לגשת לכספי הארנק, הקריפטו נגנב מהמשתמש באמצעות הקידוד הזדוני שהופעל על ה-dapp.
הדרך הטובה ביותר להגן על עצמך משתי ההתקפות שהוזכרו לעיל היא לעולם לא להזין את ביטוי המקור שלך באינטרנט אלא אם כן אתה משחזר ארנק בכוונה. לצד זה, זה גם צורה טובה לעולם לא להתחבר או לתת הרשאות לארנק Web3 לאתרי Web3 ו-dapps מפוקפקים שאתה לא מכיר. שתי התקפות אלו עלולות לגרום להפסדים גדולים למשקיעים תמימים, אם הם לא נזהרים ממגמת ההתחזות הנוכחית.
האם אתה מכיר מישהו שנפל קורבן להונאת פישינג מסוג זה? איך מזהים ניסיונות דיוג קריפטו? ספר לנו את המחשבות שלך בתגובות.
נקודות זכות: Shutterstock, Pixabay, Wiki Commons
כתב ויתור: מאמר זה מיועד למטרות מידע בלבד. זו אינה הצעה ישירה או שידול של הצעה לרכישה או מכירה, או המלצה או אישור של מוצרים, שירותים או חברות כלשהם. Bitcoin.com אינו מספק ייעוץ להשקעה, מס, משפטי או חשבונאות. לא החברה ולא המחבר אחראים, במישרין או בעקיפין, לכל נזק או אובדן שנגרם או כביכול נגרם על ידי או בקשר לשימוש או בהסתמכות על תוכן, סחורה או שירותים כלשהם המוזכרים במאמר זה.
מקור: https://news.bitcoin.com/the-2-most-common-airdrop-phishing-attacks-and-how-web3-wallet-owners-can-stay-protected/