“从手下的代码 → 到广阔的世界”
前两天发布文章《币安账户里100万刀灰飞烟灭,我第一次遭遇黑客真实经历》之后,引发了大家在留言区的热烈讨论。
2周前,这位朋友在X平台上看到一条领空投的链接,随即点击了这条链接。之后进入的英文界面看起来很正规,操作过程中,页面弹出提示,要求获得钱包的全权操作授权。
大家注意看啊,关键就在这里了,只要在这一步点击同意,就等同于把自己的钱包交到了黑客手里。
这位朋友点击同意后,钱包里的某种币事实上立刻已被全部转移,但此动作被黑客完全掩盖:对方操纵账户频繁发起无用交易,导致页面一直停留在这些没意义的交易界面上,户主无法回到首页,根本不能注意到钱包余额的变化。
就这样,400U在顷刻之间落入黑客手中。
有位小伙伴在这条留言下回复:不要点任何空投链接,都是骗钱的。
从我们网络安全的角度上来看,这种“保持怀疑、永不信任”是非常靠谱的一种态度,能够帮助我们隔绝掉很大一部分的风险。
但其实空投也并非全部都是假的,它也算是一种比较常见的市场营销策略。某些项目为了给自己打广告,扩大用户群或社区规模,或者某个成熟的项目为了加固品牌忠诚度等等,都可能会举办这种空投活动。
不仅此类,今年5月份,甚至还发生过一次令人目瞪口呆的黑客空投事件。
5月16日,加密货币平台Pump.fun的一名前员工疑因家人离世而陷入疯狂,利用手中仍握有的特定工作权限,操作Pump.fun的后台系统,盗取其超过190万美元的资产。
当时精神状态极不稳定的这名“黑客”在X平台上自爆行为,并宣布对某些类别的代币持有者实施空投。
这一推文迅速被扩散开来,一些社区成员纷纷跟贴回复自己的钱包地址,为了被注意到,很多人还在回复里对这位黑客家人的逝世表示哀悼…
整件事情简直是莫名其妙,不过这起空投它是真的…之后不少网友开始发帖分享自己被空投的情况。
下面这位小伙伴一个简单分享就获赞4000+:被黑客空投了价值1个w的礼物。
正是因为存在很多真实的空投,才会使黑客的钓鱼空投频繁被轻信。
一旦错信某宗虚假的空投,你就会开始落入黑客的陷阱。操作过程中,他们会将高风险授权提示混杂在一堆正常的交易、转账、质押等的授权签名弹窗中间,让人防不胜防,毕竟黑客赌的就是操作者的大意和信任。
比如这位同学也是因为点击到钓鱼链接而损失2300大洋,不仔细看根本无法分清真假弹窗的细微差异 ↓
因此,在遇到空投活动时,需要慎之又慎:
-
参与空投之前,可以通过官方渠道来验证一下活动的真实性;
-
任何情况下都不能交出个人敏感信息,如银行账户、密码、私钥和助记词等;
-
哪怕是自己认为“靠谱”的空投活动,也应当仔细阅读每一个授权操作内容,一旦发现需要交出账户完全控制权限,立刻终止操作。比如下面这个,就是一个典型的过度授权弹窗:
-
可以为参与空投创建一个新的专用钱包,哪怕受到攻击,也不会蒙受巨大损失。
认识一下 💬
原文始发于微信公众号(imbyter师哥):欧易钱包400U瞬间消失,点击空投链接落入黑客陷阱