Contexte

Dans notre dernierGuide du débutant en sécurité Web3, nous nous sommes concentrés sur les attaques de phishing impliquant des multi-signatures, y compris comment les multi-signatures fonctionnent, ce qui les cause, et comment empêcher que votre portefeuille ne soit exploité. Cette fois, nous discuterons d'une tactique marketing populaire utilisée à la fois dans les industries traditionnelles et dans l'espace des crypto-monnaies : les airdrops.

Les largages aériens sont un moyen rapide pour les projets de gagner en visibilité et de construire rapidement une base d'utilisateurs. Lorsqu'ils participent à des projets Web3, les utilisateurs sont invités à cliquer sur des liens et à interagir avec l'équipe pour réclamer des jetons, mais les hackers ont mis en place des pièges tout au long du processus. Des faux sites Web aux outils malveillants cachés, les risques sont réels. Dans ce guide, nous passerons en revue les arnaques typiques des largages aériens et vous aiderons à vous protéger.

Qu'est-ce qu'un Airdrop?

Un airdrop est lorsque un projet Web3 distribue gratuitement des jetons à des adresses de portefeuille spécifiques afin d'augmenter la visibilité et attirer des utilisateurs. Il s'agit d'une manière simple pour les projets de gagner en visibilité. Les airdrops peuvent être catégorisés en fonction de la façon dont ils sont réclamés :

• Basé sur les tâches : complétez des tâches spécifiques telles que le partage, les likes ou d'autres actions.
• Interactif : effectuez des actions telles que l'échange de jetons, l'envoi/réception de jetons ou des opérations de cross-chain.
• Basé sur la détention: Détenir certains jetons pour être éligible aux airdrops.
• Basé sur le staking : Mise en jeu de jetons, fourniture de liquidité ou blocage d'actifs pendant une période pour gagner des jetons airdrop.

Risques de réclamer des Airdrops

Arnaques de faux airdrops

Voici quelques types courants d'arnaques airdrop faux :

1. Des pirates informatiques ont détourné le compte officiel d'un projet pour publier de fausses annonces de largage aérien. Nous voyons souvent des alertes telles que « le compte X ou le compte Discord d'un certain projet a été piraté. Veuillez ne pas cliquer sur le lien d'hameçonnage publié par le pirate ». Selon le rapport SlowMist de 2024, il y a eu 27 cas de comptes de projet piratés rien que pour la première moitié de l'année. Les utilisateurs, faisant confiance aux comptes officiels, cliquent sur ces liens et sont redirigés vers des sites d'hameçonnage déguisés en largages aériens. Si vous entrez votre clé privée ou votre phrase de récupération ou autorisez des permissions sur ces sites, les pirates peuvent voler vos actifs.

1. Les pirates utilisent des copies haute fidélité des comptes d'équipe du projet pour publier de faux messages dans la section des commentaires du compte officiel du projet, incitant les utilisateurs à cliquer sur des liens de phishing. L'équipe de sécurité de SlowMist a précédemment analysé cette méthode et fourni des contre-mesures (voir,Équipes de projets frauduleux: attention au hameçonnage dans la section des commentaires des comptes d'imitation). De plus, après l'annonce officielle du projet d'un airdrop, les pirates suivent rapidement en utilisant des comptes d'imitation pour publier de nombreuses mises à jour contenant des liens d'hameçonnage sur les plateformes sociales. De nombreux utilisateurs, incapables d'identifier les faux comptes, finissent par installer des applications frauduleuses ou ouvrir des sites web d'hameçonnage où ils effectuent des opérations d'autorisation de signature.

(https://x.com/im23pds/status/1765577919819362702)

1. La troisième méthode d’escroquerie est encore pire et est une arnaque classique. Les escrocs se cachent dans les groupes de projets Web3, sélectionnent les utilisateurs cibles et mènent des attaques d’ingénierie sociale. Parfois, ils utilisent des parachutages comme appâts, « apprenant » aux utilisateurs comment transférer des jetons pour recevoir des parachutages. Les utilisateurs doivent rester vigilants et ne pas faire facilement confiance à quiconque les contacte en tant que « service client officiel » ou prétend leur « apprendre » à fonctionner. Ces personnes sont très probablement des escrocs. Vous pensez peut-être que vous ne faites que réclamer un parachutage, mais vous finissez par subir de lourdes pertes.

Jetons Airdrop "gratuits" : Comprendre les risques

Les airdrops sont courants dans l'espace crypto, où les utilisateurs doivent généralement accomplir certaines tâches pour gagner des jetons gratuits. Cependant, il existe des pratiques malveillantes qui profitent de ces opportunités. Par exemple, des pirates informatiques peuvent larguer des jetons sans valeur réelle dans les portefeuilles des utilisateurs. Ces utilisateurs peuvent ensuite tenter d'interagir avec ces jetons - les transférer, vérifier leur valeur, voire les échanger sur des échanges décentralisés. Cependant, après avoir inversé l'ingénierie d'un contrat Scam NFT, nous avons découvert que les tentatives de transfert ou de mise en liste de l'NFT échouent et qu'un message d'erreur apparaît: «Visitez le site Web pour déverrouiller votre article», induisant les utilisateurs en erreur et les incitant à visiter un site de phishing.

Si les utilisateurs tombent dans le piège et visitent le site de phishing, les hackers peuvent effectuer plusieurs actions nuisibles :

• Achat en gros de NFT précieux grâce à un mécanisme “zéro coût” (voir “Zero-Cost NFT Phishing“ pour plus de détails).
• Voler des approbations ou des autorisations de signatures de jetons de grande valeur.
• Vol de ressources natives du portefeuille de l'utilisateur.

Ensuite, examinons comment les pirates utilisent un contrat malveillant soigneusement conçu pour voler les frais de gaz des utilisateurs. Tout d'abord, le pirate crée un contrat malveillant nommé GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) sur BSC, en utilisant des jetons distribués gratuitement pour attirer les utilisateurs à interagir avec lui. Lorsque les utilisateurs interagissent avec ce contrat malveillant, une demande apparaît pour approuver le contrat afin d'utiliser les jetons dans le portefeuille de l'utilisateur. Si l'utilisateur approuve cette demande, le contrat malveillant augmente automatiquement la limite de gaz en fonction du solde du portefeuille de l'utilisateur, ce qui entraîne une consommation accrue des frais de gaz pour les transactions ultérieures.

En utilisant la limite de Gas élevée fournie par l'utilisateur, le contrat malveillant utilise le Gas supplémentaire pour créer des jetons CHI (les jetons CHI peuvent être utilisés pour la compensation du Gas). Après avoir accumulé une grande quantité de jetons CHI, le pirate peut brûler ces jetons pour recevoir une compensation en Gas lorsque le contrat est détruit.

(https://x.com/SlowMist_Team/status/1640614440294035456)

Grâce à cette méthode, le pirate profite habilement des frais de gaz de l'utilisateur, et celui-ci peut même ne pas se rendre compte qu'il a payé des frais de gaz supplémentaires. L'utilisateur pensait initialement pouvoir tirer profit de la vente des jetons distribués mais s'est finalement fait voler ses actifs natifs.

Outils avec une porte de derrière

(https://x.com/evilcos/status/1593525621992599552)

Dans le processus de réclamation des airdrops, certains utilisateurs doivent télécharger des plugins pour traduire ou interroger la rareté des jetons, entre autres fonctions. La sécurité de ces plugins est douteuse, et certains utilisateurs les téléchargent à partir de sources non officielles, augmentant ainsi le risque de télécharger des plugins avec des portes dérobées.

De plus, nous avons remarqué des services en ligne vendant des scripts d'Airdrop qui prétendent automatiser les interactions en masse. Bien que cela semble efficace, les utilisateurs doivent être prudents car le téléchargement de scripts non vérifiés est extrêmement risqué. Vous ne pouvez pas être sûr de la source ou de la véritable fonctionnalité du script. Il peut contenir un code malveillant, potentiellement menaçant pour voler des clés privées ou des phrases de récupération ou pour effectuer d'autres actions non autorisées. De plus, certains utilisateurs exécutent de telles opérations risquées sans logiciel antivirus, ce qui peut entraîner des infections par des chevaux de Troie non détectés, entraînant des dommages à leurs appareils.

Résumé

Ce guide a principalement expliqué les risques associés à la réclamation des airdrops en analysant les escroqueries. De nombreux projets utilisent désormais les airdrops comme outil marketing. Les utilisateurs peuvent prendre les mesures suivantes pour réduire le risque de perte d'actifs lors de la réclamation des airdrops :

• Multi-vérification : Lorsque vous visitez un site d'airdrop, vérifiez attentivement l'URL. Confirmez-le via le compte officiel du projet ou les canaux d'annonce. Vous pouvez également installer des plugins de blocage des risques de phishing (comme Scam Sniffer) pour aider à identifier les sites de phishing.
• Segmentation de portefeuille: utilisez un portefeuille avec de petits fonds pour les demandes de largage aérien et conservez de grosses sommes dans un portefeuille froid.
• Soyez prudent avec les jetons distribués gratuitement : méfiez-vous des jetons distribués gratuitement en provenance de sources inconnues. Évitez d'autoriser ou de signer des transactions hâtivement.
• Vérifiez les limites de gaz : faites attention à ce que la limite de gaz pour les transactions ne soit pas anormalement élevée.
• Utilisez un logiciel antivirus : Utilisez un logiciel antivirus bien connu (tel que Kaspersky, AVG, etc.) pour activer une protection en temps réel et vous assurer que les définitions de virus sont à jour.

Avertissement :

1. Cet article est repris de SlowMist Technology, les droits d'auteur appartiennent à l'auteur original [SlowMist Security Team]. S'il y a des objections à cette réimpression, veuillez contacter le Gate Apprendreéquipe, et ils s'en occuperont rapidement.
2. Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. L'équipe de traduction de Gate Learn a traduit l'article dans d'autres langues. La copie, la distribution ou le plagiat des articles traduits est interdit sauf mention contraire.