Jesteśmy przyzwyczajeni do słuchania ostrzeżeń o phishingu przez WhatsApp, wiadomości, fałszywe linki i e-maile, i wiemy, jak sobie z nimi radzić i ostrzegać przed nimi.
Ale czy kiedykolwiek doświadczyłeś próby phishingu za pomocą tokena?
Dziś, podczas sprawdzania moich portfeli Web3, zauważyłem trzy nieproszonych przychodzących przelewów w historii jednego portfela bez mojej wiedzy (nie brałem udziału w żadnej aktywności na łańcuchu, ani ten token nie był dystrybuowany jako airdrop lub giveaway, ani nie wymieniłem żadnego tokena z nikim, aby otrzymać tę walutę).
Czytałem o tym typie tokena wcześniej, ale to było moje pierwsze bezpośrednie doświadczenie z tego rodzaju phishingiem. Chciałbym się tym podzielić, aby zwiększyć świadomość i ostrożność.
1. Tokeny istnieją w sieci Plasma i używają strony internetowej jako swojej nazwy.
2. Ten fałszywy token pojawił się w moim portfelu dopiero po kliknięciu "Dodaj token" – Binance faktycznie zablokował tę fałszywą walutę, ponieważ adres nadawcy został oznaczony jako phishing i oszustwo. Oczywiście, mając mocną wiedzę i zrozumienie tego, co robiłem, dodałem go, aby przetestować ten typ phishingu! Nie polecam eksperymentowania w ogóle – jesteś tylko jeden klik w odległości od bycia oszukanym!
3. Po dodaniu tokena do mojego portfela, pojawił się z wartością = 0, nieznaną nazwą i ogromną ilością!
Poszedłem na strony skanowania blockchaina, aby zbadać adres kontraktu, który wysłał mi te tokeny (zostały wysłane z 3 różnych adresów).
Znalazłem, że ta sama ilość fałszywych tokenów została wysłana do dużej liczby portfeli, a na szczęście dla mnie, byłem jednym z nich. Dlaczego na szczęście? Ponieważ chciałem przetestować tę metodę, zrozumieć ją z bliska i ostrzec innych o tym. I również – co ważne – odkryłem, która bliska osoba podzieliła się moim adresem portfela! Jak? Prowadzę rejestr wszystkich moich interakcji w blockchainie z ludźmi z różnych powodów, ale to nie było jednym z nich 😂
Teraz, po przeanalizowaniu transakcji adresu nadawcy i adresów, które go sfinansowały, znalazłem dużą liczbę portfeli wysyłających tokeny phishingowe.
Przydzielają niewielką kwotę pieniędzy na opłatę sieciową i czekają, aż ktoś zaakceptuje te fałszywe tokeny (zakładają, że osoba spróbuje je sprzedać lub wysłać). W momencie, gdy osoba wchodzi w interakcję z tokenem, otrzymuje prośbę o "Zatwierdzenie" tokena, aby go wysłać.
A tu leży katastrofa: Kiedy udzielasz zgody, dałeś mu pozwolenie na dostęp do swoich funduszy. Niektóre złośliwe kontrakty pozwalają na nieograniczone wypłaty z portfela. Rezultat: Wszystkie twoje pieniądze mogą być wypłacone w ciągu kilku sekund (lub, oszust może nie wypłacić natychmiast, ale zachowuje pozwolenie na kontrolowanie twoich funduszy, aż wpłacisz duże kwoty – oszuści mogą czekać tygodniami lub miesiącami, aby uzyskać jak największą kwotę). To oznacza, że oszust polega na twojej ciekawości, chciwości i braku wiedzy.
Ale ważnym punktem tutaj jest regularne monitorowanie zgód (powinieneś cofnąć każdą zgodę, której nie autoryzowałeś, lub każdą dApp, której nie włączyłeś).
I tutaj dochodzimy do strony internetowej, która pojawia się jako nazwa tokena (#RedFlagAlert – nie odwiedzaj tej strony w ogóle).
Otwierając tę stronę – która jest 100% oszukańcza – poprosi cię o połączenie portfela, aby odebrać dużą sumę (aby cię skusić i zamącić w ocenie) i następnie poprosi o twoje klucze portfela (pamiętaj: żadna oficjalna strona nigdy nie prosi o twoje klucze prywatne ani frazę seed – łączenie portfela ze stronami odbywa się za pomocą zgody wewnątrz samej aplikacji portfela).
Tutaj przechodzimy od oszustwa za pomocą złośliwego kontraktu do oszustwa za pomocą kradzieży kluczy do twojego portfela i pełnego dostępu do twoich aktywów.
Nawet jeśli popełnisz jakiś błąd z niewiedzy, nadal możesz przenieść swoje aktywa, jeśli jesteś świadomy i wiesz o możliwości oszustwa. Dlaczego? Ponieważ oszuści mają dużą liczbę celów i w związku z tym przestrzegają okresowego harmonogramu, aby sprawdzać docelowe portfele. Możesz im dać swoje klucze, ale żadna transakcja nie zachodzi bez twojej wiedzy – tutaj masz szczęście, ponieważ twoja kolej jeszcze nie nadeszła 😂🤞🏻
4. Jeśli miałeś takie rzeczy, najlepsze i najbezpieczniejsze podejście jest proste:
· Naciśnij dłużej na podejrzany token w swoim portfelu
· Wybierz "Ukryj token" lub "Ignoruj"
· Nigdy więcej nie wchodź w interakcje z nim
🔶️ Dlatego zawsze musisz być ostrożny, monitorować zgody i rozważyć użycie portfela bezkluczowego, takiego jak opcja bezkluczowa Binance, ponieważ jest to bezpieczniejsze dla użytkownika. I dąż do ciągłego uczenia się – kieruj swoją ciekawość w stronę tematów i spraw, których nie znasz, zawsze. 👌🏻
