兩種常見空投釣魚攻擊 Web3 錢包用戶應如何保護財產?
在加密貨幣、去中心化金融 (defi) 和 Web3 的世界中,空投在這些世界中已司空見慣。 然而,雖然空投聽起來像是免費的錢,但藉空投名義的網絡釣魚詐騙趨勢正在增長,當人們試圖獲得所謂免費加密資產時,有機會被竊取金錢。 以下是攻擊者使用空投網絡釣魚詐騙竊取資金的兩種不同方式,以及使用者該如何保護自己。
空投並非總是意味著「免費加密貨幣」
空投一直是免費加密貨幣的代名詞,以至於一種稱為空投網絡釣魚的加密貨幣騙局越來越普遍。 如果你是加密貨幣社區的參與者並使用 Twitter 或 Facebook 等社交媒體平台,您可能已經看到許多垃圾郵件帖子,廣告等各種空投宣傳。
通常會由一個受歡迎的 Twitter 加密貨幣參與者帳戶會發布一條推文,隨後會有大量詐騙者宣傳空投網絡釣魚嘗試,還有大量帳戶表示他們收到了免費加密貨幣。 大多數人不會誤墮這些空投騙局,但由於空投被認為是免費的加密貨幣,因此也有很多人成為此類攻擊的受害者而損失了資金。
第一類攻擊是在社交媒體上使用相同的廣告方法,因為許多人或機器人會提供導向至空投網絡釣魚詐騙網頁的鏈結。 可疑網站可能看起來沒有甚麼問題,甚至從流行的 Web3 項目中復制了一些元素,但最終,詐騙者目的也是竊取用戶資金。 免費空投騙局可能是未知的加密貨幣,也可能是流行的現有加密貨幣,如 BTC、ETH、SHIB、DOGE 等。
第一種攻擊通常表明參與者可接收空投,但必須使用兼容的 Web3 錢包來取回所謂的「免費」加密貨幣。 該網站將指向一個頁面,當中顯示所有流行的 Web3 錢包,如 Metamask 等,但當點擊錢包的鏈結時,會彈出一個錯誤,並且該網站會要求用戶輸入助記詞。
這就是事情變得陰暗的地方,因為除非用戶主動重新恢復錢包,否則 Web3 錢包永遠不會要求提供助記詞或 12-24 助記詞。 然而,毫無戒心的用戶可能會認為錯誤是正常的,並將他們的助記詞輸入到網頁中,最終導致錢包中存儲的所有資金丟失。
基本上,用戶只是因 Web3 錢包錯誤頁面要求提供助記詞而把私鑰給予攻擊者。 如果是未知的來源,用戶永遠不應該輸入他們的助記詞或 12-24 助記詞,除非需要恢復錢包,否則真的不需要在線輸入助記詞。
避免給予可疑 Dapp 所有權限
第二種攻擊有點棘手,攻擊者使用代碼的技術來盗竊 Web3 錢包用戶。 同樣,空投網絡釣魚詐騙會在社交媒體上做廣告,但這次當用戶訪問網站時,他們可以使用他們的 Web3 錢包「連接」到該網站。
然而,攻擊者編寫代碼的方式並非只是授予網站對錢包讀取餘額,而是最終授予網站完全權限以竊取 Web3 錢包中的加密貨幣。 這可以通過簡單地將 Web3 錢包連接到詐騙網站並授予其權限來實現。最簡單是不連接至該網站來避免攻擊,但是有很多人已經墮進了這種網絡釣魚攻擊圈套。
保護錢包的另一種方法是確保錢包的 Web3 權限連接到用戶信任的網站。 如果有任何看起來可疑的去中心化應用程序(dapps),如用戶因「免費」加密貨幣騙局而意外連接到可疑 dapp,則應刪除權限。 然而,通常發現時已經為時已晚,一旦 dapp 獲得訪問錢包資金的權限,加密貨幣就會通過應用於 dapp 的惡意編碼從用戶那裡竊取。
保護自己免受上述兩種攻擊的最佳方法是永遠不要在網站上輸入助記詞,除非您想恢復錢包。 除此之外,永遠不要連接或授予 Web3 錢包權限到您不熟悉的可疑 Web3 網站和 dapp 。 如果不注意當前的空投網絡釣魚趨勢,這兩種攻擊可能會給毫無戒心的投資者造成重大損失。