Antecedentes

En nuestra guía anterior sobre seguridad Web3, cubrimos el tema del phishing de multisig, discutiendo elmecánica de billeteras multisigEn esta entrega, profundizaremos en una táctica de marketing ampliamente utilizada en las industrias tradicional y de cripto: los airdrops. Descubriremos qué son, cómo los atacantes los explotan y cómo proteger su billetera de firmas maliciosas.

Los airdrops pueden llevar rápidamente a un proyecto del anonimato al centro de atención, ayudándolo a construir rápidamente una base de usuarios y mejorar la visibilidad en el mercado. Por lo general, los usuarios participan en proyectos Web3 haciendo clic en enlaces e interactuando con el proyecto para reclamar tokens airdrop. Sin embargo, desde sitios web falsificados hasta herramientas con puertas traseras, los hackers han colocado trampas en todo el proceso de airdrop. Esta guía analizará estafas comunes de airdrop para ayudarlo a evitar estos peligros.

¿Qué es un Airdrop?

Un airdrop ocurre cuando un proyecto Web3 distribuye tokens gratuitos a direcciones de billetera específicas para aumentar su visibilidad y atraer usuarios tempranos. Este es uno de los métodos más directos para que los proyectos ganen una base de usuarios. Los airdrops generalmente se pueden categorizar en los siguientes tipos según cómo se reclaman:

• Basado en tareas: Completar tareas especificadas por el proyecto, como compartir contenido o dar me gusta a publicaciones.

• Basado en interacciones: Realizar acciones como intercambios de tokens, enviar/recibir tokens u operaciones entre cadenas.

• Basado en la retención: mantener los tokens especificados del proyecto para calificar para el airdrop.

• Basado en Staking: Ganar tokens airdrop a través de staking de un solo activo o de dos activos, proporcionando liquidez o bloqueo a largo plazo de tokens.

Riesgos al reclamar Airdrops

Estafas falsas de airdrop

Estas estafas se pueden dividir en varios tipos:

1. Cuentas oficiales secuestradas: Los piratas informáticos pueden tomar el control de la cuenta oficial de un proyecto y publicar anuncios falsos de lanzamientos aéreos. Por ejemplo, es común ver alertas en plataformas de noticias como "La cuenta X o Discord del Proyecto Y ha sido hackeada; No haga clic en enlaces de phishing compartidos por el pirata informático". Según nuestro Informe de mitad de año sobre la seguridad de la cadena de bloques y la lucha contra el blanqueo de capitales de 2024, sólo en el primer semestre de 2024 se produjeron 27 incidentes de este tipo. Los usuarios, que confían en la cuenta oficial, pueden hacer clic en estos enlaces y ser redirigidos a sitios de phishing disfrazados de páginas de airdrop. Si introducen sus claves privadas, frases semilla o conceden permisos, los hackers pueden robar sus activos.

1. Suplantación de identidad en las secciones de comentarios: los hackers a menudo crean cuentas falsas de proyectos y las publican en los comentarios de los canales de redes sociales del proyecto real, afirmando ofrecer airdrops. Los usuarios que no son cuidadosos podrían seguir estos enlaces a sitios de phishing. Por ejemplo, el equipo de seguridad de SlowMist ha analizado previamente estas tácticas y ha proporcionado recomendaciones en un artículo titulado "Cuidado con la suplantación de identidad en las secciones de comentarios". Además, después de que se anuncia un airdrop legítimo, los hackers responden rápidamente publicando enlaces de phishing utilizando cuentas falsas que se asemejan a las oficiales. Muchos usuarios han sido engañados para instalar aplicaciones maliciosas o firmar transacciones en sitios de phishing.

1. Ataques de ingeniería social: En algunos casos, los estafadores se infiltran en grupos de proyectos Web3, apuntan a usuarios específicos y utilizan técnicas de ingeniería social para engañarlos. Pueden hacerse pasar por personal de soporte o miembros útiles de la comunidad, ofreciendo guiar a los usuarios a través del proceso de reclamar un airdrop, solo para robar sus activos. Los usuarios deben permanecer vigilantes y no confiar en ofertas no solicitadas de ayuda de personas que dicen ser representantes oficiales.

Tokens de Airdrop "gratuitos"

Si bien la mayoría de los airdrops requieren que los usuarios completen tareas, hay casos en los que los tokens aparecen en su billetera sin que usted haga ninguna acción. Los hackers a menudo lanzan tokens sin valor en su billetera, esperando que interactúe con ellos transfiriéndolos, viéndolos o intentando comerciar con ellos en un exchange descentralizado. Sin embargo, al intentar interactuar con estos Scam NFT, puede encontrarse con un mensaje de error que lo invita a visitar un sitio web para "desbloquear su artículo". Esto es una trampa que lo lleva a un sitio de phishing.

Si un usuario visita el sitio web de phishing vinculado por un Scam NFT, el hacker puede realizar las siguientes acciones:

• Realice una "compra sin costo" de valiosos NFT (consulte el análisis de phishing de NFT "compra sin costo").

• Robar tokens de alto valor a través de autorizaciones de Aprobar o firmas de Permitir.

• Retira los activos nativos.

A continuación, examinemos cómo los piratas informáticos pueden robar las tarifas de gas de los usuarios a través de un contrato malicioso cuidadosamente diseñado.

Primero, el hacker creó un contrato malicioso llamado GPT en la Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) y atrajo a los usuarios a interactuar con él mediante la distribución de tokens.

Cuando los usuarios interactún con este contrato malicioso, se les pide que aprueben el uso de tokens del contrato en su billetera. Si el usuario aprueba esta solicitud, el contrato malicioso aumenta automáticamente el límite de gas en función del saldo de la billetera del usuario, lo que conduce a un mayor consumo de gas en transacciones posteriores.

Al explotar el límite de gas alto proporcionado por el usuario, el contrato malicioso utiliza el exceso de gas para acuñar tokens CHI (los cuales pueden ser utilizados para compensación de gas). Después de acumular un gran número de tokens CHI, el hacker puede quemar estos tokens para recibir un reembolso de gas cuando el contrato sea destruido.

https://x.com/SlowMist_Team/status/1640614440294035456

A través de este método, el hacker obtiene ingeniosamente ganancias de las comisiones por gas del usuario, mientras que el usuario puede no ser consciente de que ha pagado comisiones por gas adicionales. El usuario inicialmente esperaba obtener ganancias al vender los tokens airdrop pero terminó perdiendo sus activos nativos en su lugar.

Herramientas de puerta trasera

https://x.com/evilcos/status/1593525621992599552

Durante el proceso de reclamar airdrops, algunos usuarios necesitan descargar complementos para tareas como la traducción o verificar la rareza de los tokens. Sin embargo, la seguridad de estos complementos es cuestionable y algunos usuarios no los descargan de fuentes oficiales, lo que aumenta significativamente el riesgo de descargar complementos con puertas traseras.

Además, hemos observado servicios en línea que venden scripts para reclamar airdrops, que afirman automatizar las interacciones por lotes de manera eficiente. Sin embargo, tenga en cuenta que descargar y ejecutar scripts no verificados y no revisados es extremadamente arriesgado, ya que no puede estar seguro de la fuente del script o de sus funciones reales. Estos scripts pueden contener código malicioso, lo que representa posibles amenazas como el robo de claves privadas o frases semilla, o la realización de otras acciones no autorizadas. Además, algunos usuarios, al realizar estas operaciones riesgosas, no tienen instalado un software antivirus o lo tienen desactivado, lo que puede evitar que detecten si su dispositivo ha sido comprometido por malware, lo que lleva a un mayor daño.

Conclusión

En esta guía, hemos destacado los diversos riesgos asociados con la reclamación de airdrops mediante el análisis de tácticas comunes de estafa. Los airdrops son una estrategia de marketing popular, pero los usuarios pueden reducir el riesgo de pérdida de activos durante el proceso tomando las siguientes precauciones:

• Verificar a fondo: Siempre verifique dos veces las URL al visitar sitios web de airdrop. Confírmelos a través de cuentas oficiales o anuncios, y considere instalar complementos de detección de riesgos de phishing como Scam Sniffer.

• Utilice carteras segregadas: Mantenga solo pequeñas cantidades de fondos en las carteras utilizadas para airdrops, mientras almacena cantidades más grandes en una cartera fría.

• Tenga cuidado con los airdrops desconocidos: no interactúe ni apruebe transacciones que involucren tokens de airdrop de fuentes desconocidas.

• Verificar límites de gas: Siempre revise el límite de gas antes de confirmar una transacción, especialmente si parece inusualmente alto.

• Utilice un software antivirus confiable: mantenga activada la protección en tiempo real y actualice regularmente su software antivirus para asegurarse de que se bloqueen las últimas amenazas.

Descargo de responsabilidad：

1. Este artículo se reproduce de [SunSec], Todos los derechos de autor pertenecen al autor original [SlowMist]. If there are objections to this reprint, please contact the Gate Learnequipo, y lo manejarán rápidamente.
2. Renuncia de responsabilidad: Las opiniones expresadas en este artículo son únicamente las del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.