空投钓鱼诈骗
空投诈骗是一种网络钓鱼攻击,利用虚假网站、电子邮件和社交媒体账户诱骗用户领取虚假空投。这类诈骗通常诱使用户将钱包连接到恶意智能合约或分享私钥,从而获得“空投”,之后钱包中的所有资产都会被盗走。
关键要点
在加密货币中,空投是一种营销计划,旨在激励加密货币爱好者支持某个项目或奖励他们过去对该项目或相关项目的贡献。
不法分子利用加密货币投资者对空投的兴奋情绪,诱骗他们通过空投骗局授予钱包访问权限。
随着空投变得越来越有利可图,空投诈骗也变得越来越猖獗和复杂,从虚假个人资料到虚假网站和网络钓鱼电子邮件。
空投以免费奖励的承诺吸引加密货币投资者和爱好者,他们只需与协议交互即可获得代币发行后免费获得的承诺。空投承诺吸引了新的投资者参与空投追逐,但也滋生了空投骗局,这些骗局诱骗投资者将钱包连接到恶意应用程序和网站,从而盗取他们钱包中的所有资产。
什么是空投骗局?
空投骗局是围绕着根本不存在且未得到协议团队认可的虚假空投而展开的。但其危害远不止于此。空投骗局还试图利用投资者参与激励计划的意愿,将他们置于安全威胁之中,通常会导致他们的钱包被掏空。
在这种情况下,骗子通常会冒充合法协议或影响者,推广虚假的空投门户,要求用户连接钱包领取空投。通常,这些网站乍一看很真实,与真实网站的视觉效果一致。他们甚至可能要求用户输入私钥或种子短语。然而,一旦用户连接钱包领取“空投”,就会收到错误消息,钱包中的资金就会被转移到骗子手中。
空投骗局是如何运作的?
如上所述,空投骗局依靠伪装成合法网站来诱骗投资者放松警惕并批准钱包权限(甚至分享他们的种子短语)。
除了在社交媒体上宣传虚假网站之外,投资者还可能遭遇空投骗局,当他们发现自己收到了新的代币(而不是他们购买的)时,当他们去BscScan等区块浏览器查找如何获得代币时,他们会看到一条错误消息,试图将他们引导到另一个网站,以便在他们访问这些代币之前“领取”这些代币。
访问虚假网站后,用户可能会被诱骗输入种子短语,从而让骗子控制用户的整个钱包。或者,用户可能会在进入网站后直接批准弹出的交易请求,而无需查看完整信息,从而允许该页面获得无限数量的代币批准。代币批准通常由 dApp 用来代表用户访问和转移代币,甚至合法的 DeFi 协议也可能请求访问无限数量的代币,以最大限度地减少用户每次使用代币时都需要重新批准的麻烦。然而,一旦你授予恶意网站无限代币批准的权限,实际上就是在授权该网站窃取你的代币,而不是将代币交给你。
空投诈骗案例
让我们探讨一些常见的空投骗局策略及其内容。
虚假资料营销空投
Celestia 刚刚推出了 Earndrop 计划,而TIA的推出也引发了一系列虚假账户的涌现,这些账户承诺用户有机会获得 TIA 空投的最后一次机会。在下面的屏幕截图中,一个骗子创建了一个与真实账户相似的虚假账户(尽管用户名不同: calestiatoken和CelestiaOrg)。
在这种情况下,潜在投资者会被虚假承诺引诱去推广某个账户或项目。
为了推广该账户,他们宣布向转发该推文并分享其 ETH 钱包地址的 1,200 名用户空投 1000 万 TIA 代币。通过这种方式,该账户的关注度和整体相关性都有所提升。这也可能成为空投代币诈骗的第一步,这 1,200 个账户将获得一定数量的代币,但为了领取这些代币,他们必须将钱包连接到某个网站。
这简直就是个骗局,因为 Celestia 根本不是一个基于以太坊的代币。用户不太可能获得承诺的奖励,即使获得了,其价值也可能低于他们的预期。
冒充热门账户
另一个例子是,诈骗者复制热门账户的外观,并试图通过推广虚假空投来欺骗毫无戒心的投资者。
上面的截图显示了两个账户,一个是假账户,另一个是真实账户。只有仔细观察用户名(OilimqioCrypto与OlimpioCrypto)才能发现外观上的差异。如果仔细观察,假账户的头像边框是圆形的,而真实账户的头像边框是六边形的。
该虚假账户还发布了一条推文,其中包含与原账户控制的网站类似的链接。请注意,earndrop.io(真实网站)和eansrdrop.io(虚假网站)之间的区别。然而,与原网站不同,原网站的注册用户需要粘贴钱包地址才能找到未领取的空投,而虚假网站会立即提示用户连接钱包。据 Olimpio 称,一旦钱包连接成功,该网站就会扫描所有区块链并检测代币。
在连接钱包之前,请务必检查网站地址,切勿自动将钱包连接到任何网站。
该骗局利用了 Earndrop 和 Olimpio 在空投领域建立的声誉,其特色是诈骗网站和恶意邮件,乍一看与真品一模一样。据真实账户报告,这些骗局已被用来入侵投资者的钱包并窃取他们的加密资产,甚至经验丰富的投资者也成为这种网络钓鱼骗局的受害者。
虚假空投领取网站
许多空投项目要求投资者通过钱包验证其领取资格,才能领取空投份额。与此同时,虚假空投还会创建虚假的领取网站,其名称与真实网站相似。
例如,上图显示了两个 Celestia 空投的领取网站。虽然这两个网站的地址差异很大,但对原始网站一无所知的投资者可能会被虚假网站所欺骗,从而被引导至钓鱼网站,钓鱼网站会提示他们连接钱包或请求种子短语。
假代币和 NFT 空投
除了诈骗者用来侵入 NFT 投资者钱包的虚假 NFT 领取网站之外,另一个例子是虚假空投运营商向用户的钱包发送虚假空投,其中包含空投的详细信息以及如何领取。
在上面的截图中,你可以看到这些名称与他们所谓的空投代币非常相似,尽管它们都存在拼写错误或名称相似的情况。就像虚假代币空投的情况一样,你也可以在钱包里找到一些这样的NFT。这些NFT没有任何价值,只是用来传播虚假中奖和领取流程的信息。
如何避免空投诈骗
随着空投诈骗手段的日益增多,我们需要时刻警惕并避免此类骗局。以下是如何保护自己免受此类诈骗的侵害。
对空投进行自己的研究
空投并非秘密;毕竟,该协议的目标是推动采用并吸引用户。因此,对于每一次空投,互联网上都有大量信息可供参考,从合法网站到社交媒体平台。
因此,在参与空投活动之前,请考虑花些时间研究一下空投要求、项目以及参与或讨论该项目的其他投资者。请尽可能使用官方资源,并且仅在确认网站地址后才与协议进行交互(注意拼写错误)。
要求您先发送任何类型的加密资产才能领取空投代币的空投项目非常可疑。这不包括常见的空投任务,例如向协议存入资产或进行代币兑换。
您的发现还将决定您是否需要在参与空投计划时应用风险管理策略,或者是否需要远离它。
核实信息来源
正如我们之前所讨论的,不法分子可以创建与真实项目类似的账户和网站,并利用它们传播有关恶意空投的虚假信息。此类空投骗局旨在引诱那些在冒险之前不核实信息来源的投资者。
仔细检查,你就能发现真假个人资料之间的区别,因为假个人资料和网站通常都包含拼写错误。此外,还要调查推广空投的个人,确认他们的身份属实。虽然建议利用这些有影响力的人作为信息来源,但这并不足以将空投标记为“合法”,你仍然有责任自行调查。
切勿输入您的私钥或恢复短语
任何空投、赠品计划或任何要求您输入私钥和种子短语的程序都是彻头彻尾的骗局。您的私钥和恢复短语应该只有您自己知道,并离线存储在 Crypto Steel 上。切勿在任何网站上输入这些信息,因为任何合法的应用程序都不会要求您提供私钥;这不仅限于空投,也包括所有其他加密货币互动。
仅在真实网站上连接你的钱包
有些空投需要您连接钱包、签署消息或直接将奖励领取到钱包。有些空投则要求您直接输入钱包地址。虽然后者看起来风险较小,但仍然需要您验证地址的真实性。如果代币出现在您的钱包中,但出现错误消息,提示您访问其他网站领取,则很可能是骗局。
在所有情况下,请仔细检查平台,确保您与正确的平台进行交互。请注意,虚假网站通常与原始网站外观完全相同,赠品通常是网站网址的拼写错误。
最后的想法
空投确实存在,空投骗局也同样存在。有时很难区分真假空投,即使是经验丰富的投资者也会上当受骗。然而,很多情况下,虚假空投都有明显的迹象,通常域名就能体现出其中的端倪。我们分享了一些已知的案例,但也承认空投骗局的形式多种多样,这份清单并未囊括所有可能的形式。
无论如何,简单的彻底验证就能避免大多数此类骗局。此外,采取风险管理策略也能减少落入陷阱后的损失。建议的安全策略只能降低落入空投骗局的风险,但并不能确保 100% 安全;因此,应始终保持风险管理。此外,请注意,本文仅供参考,不提供任何财务建议。
