Golpe de Site Falso de Reivindicação de Airdrop: Como os Drainers Roubam Sua Carteira (e Como Verificar)

— By Tony Rabbit in Tutorials

Golpe de Site Falso de Reivindicação de Airdrop: Como os Drainers Roubam Sua Carteira (e Como Verificar)

Um golpe de site falso de reivindicação de airdrop usa um token não solicitado em sua carteira como isca para atraí-lo a uma página maliciosa que pede para você assinar uma aprovação de drenagem. Aqui está a cadeia de ataque exata, o que a assinatura realmente faz e como verificar antes de se conectar.

Um golpe de site falso de reivindicação de airdrop é uma técnica de roubo onde os atacantes depositam um token não solicitado em sua carteira, o nomeiam com uma "claim" URL, e contam com sua curiosidade para levá-lo a um site malicioso que pede para você assinar uma transação de drenagem de carteira. O token em si é uma isca inofensiva. O dano acontece no momento em que você se conecta e aprova uma solicitação no site falsificado. Ao contrário de um airdrop legítimo, nada real está esperando por você para reivindicar. Todo o funil existe para fabricar uma única assinatura fraudulenta, e entender esse funil é a diferença entre perder uma carteira e ignorar lixo.

Principais Pontos

  • O token não solicitado é isca, não valor. O roubo acontece no site de reivindicação, não em sua carteira.
  • O site pede para você assinar uma aprovação ou um permit off-chain que entrega o controle de seus ativos a um drainer.
  • Airdrops reais são anunciados primeiro através de canais oficiais. Você verifica o canal, depois vai para o site, nunca o contrário.
  • O padrão correto é não fazer nada. Nunca assine para "reivindicar" um token que você não esperava. Esconda-o e siga em frente.

A cadeia de ataque de um golpe de site falso de reivindicação de airdrop

O ataque ocorre em uma sequência previsível. Primeiro, um token desconhecido aparece em sua carteira. Você nunca o comprou, nunca interagiu com o projeto e, muitas vezes, nunca ouviu falar dele. O nome ou símbolo do token é frequentemente uma URL, algo como "Claim at rewards-xyz.com" ou "$2,000 voucher - visit site". Esta é a isca. O token é distribuído em massa para milhares de endereços de uma vez, às vezes emparelhado com um pequeno ataque de dusting que envia pequenas quantias para fazer as carteiras parecerem "ativas" e dignas de serem alvo.

Segundo, a curiosidade faz o trabalho do atacante. Você vê um saldo aparente, pesquisa o nome e chega a um site que parece um portal de reivindicação polido: contador regressivo, branding do projeto, um botão brilhante de "Claim Now". Terceiro, você conecta sua carteira. Quarto, o site apresenta uma transação ou solicitação de assinatura que não é o que parece ser. Aprovando-a, um contrato drainer varre seus tokens reais, stablecoins ou NFTs em segundos. Nenhuma reivindicação jamais chega. O token em sua carteira era apenas um outdoor apontando para a armadilha.

O que o site malicioso realmente pede para você assinar

O botão de reivindicação nunca lhe dá nada. Ele pede uma permissão, e o perigo reside na diferença entre o que o pop-up parece e o que ele faz. Existem duas mecânicas principais, e ambas são silenciosas por design.

A primeira é uma aprovação de token. Você pensa que está habilitando uma reivindicação, mas está concedendo a um contrato inteligente permissão para mover um token específico de sua carteira, muitas vezes por um valor ilimitado. A segunda é uma assinatura de permit off-chain. Isso parece uma mensagem inofensiva de "sign-in" sem taxa de gas, e é exatamente por isso que as pessoas a aprovam sem pensar. Na realidade, ela autoriza o mesmo tipo de transferência através de uma assinatura sem gas. Se você não tem certeza de como elas diferem, nossa análise de permissões de token approve versus permit explica por que a sem gas é frequentemente a mais perigosa das duas.

O que o pop-up dizO que ele realmente fazIndício
"Aprovar para reivindicar"Concede a um contrato direitos de gasto sobre seu token, muitas vezes ilimitadosA aprovação é para um token que você possui, não para o lixo
"Assinar para verificar carteira" (sem gas)Permit off-chain autorizando uma transferência sem gas de seus ativosAssinatura gratuita que nomeia um gastador e um valor
"Confirmar para receber tokens"Envia uma transação para um drainer que varre os saldosVocê está pagando gas para "receber" algo gratuito

Por que um token não solicitado em sua carteira é um sinal de alerta

Airdrops legítimos quase nunca começam depositando um saldo negociável de surpresa e pedindo para você visitar um site. Distribuições reais são anunciadas com antecedência, geralmente são reivindicadas através do próprio domínio verificado do projeto para o qual você navegou deliberadamente, e não dependem de um token aparecer misteriosamente primeiro. Quando o token chega antes de qualquer anúncio e seu nome é uma chamada para ação, a sequência é invertida, e essa inversão é o sinal.

Um token inesperado é funcionalmente um anúncio que qualquer pessoa pode colocar em sua carteira por alguns centavos, porque enviar tokens para um endereço não requer permissão do destinatário. Trate-o da mesma forma que você trataria um folheto deixado debaixo da sua porta prometendo um prêmio grátis "se você ligar para este número". A mera aparência de valor não é evidência de valor. Para o padrão mais amplo de como esses airdrops falsos são construídos e identificados, consulte nosso guia para identificar golpes de airdrop falsos.

Como verificar um canal oficial de airdrop antes de conectar

A verificação inverte o fluxo do golpe. Em vez de deixar um token levá-lo a um site, você começa de uma fonte em que já confia e trabalha para fora. Nunca clique em um link que chegou até você. Encontre o projeto de forma independente.

  • Comece pela fonte oficial, não pelo token. Localize o projeto através de um agregador respeitável, sua conta social verificada de longa data ou um site de documentação que você acessou digitando o endereço você mesmo.
  • Verifique o domínio. Sites de drainer usam URLs semelhantes com palavras extras, letras trocadas ou domínios de nível superior estranhos. Compare a grafia exata com várias referências oficiais antes de conectar qualquer coisa.
  • Confirme se o airdrop foi anunciado primeiro. Uma reivindicação real é documentada antes de ser aberta. Se você não conseguir encontrar uma postagem oficial anterior à chegada do token, assuma que é uma isca.
  • Leia cada solicitação de assinatura. Se uma "claim" pedir para você aprovar um token que você já possui ou assinar um gasless permit nomeando um unknown spender, rejeite-a. Nosso guia sobre como evitar golpes de cripto abrange a disciplina mais ampla de conectar e assinar.

O padrão de não fazer nada: nunca assine para reivindicar, apenas esconda o token

A resposta mais segura a um token não solicitado é a mais barata: nada. Você não precisa vendê-lo, enviá-lo de volta ou "reivindicá-lo". Um token parado em sua carteira não pode mover seus ativos por conta própria. Apenas uma assinatura que você autoriza pode fazer isso, então reter a assinatura encerra o ataque. Esconda ou filtre o token como spam na interface da sua carteira e siga em frente.

Se você já se conectou a um site suspeito, não assine mais nada em pânico e revise suas permissões existentes. Use uma ferramenta de aprovações confiável para revogar quaisquer aprovações de token que você não reconheça, porque uma aprovação concedida permanece ativa até que você a revogue. Se você teme que uma transação já tenha sido executada e os fundos estejam em risco, siga os passos de contenção imediatos em nosso guia de recuperação de carteira de cripto imediatamente, movendo quaisquer ativos restantes para uma nova carteira antes de fazer qualquer outra coisa. O golpe de site falso de reivindicação de airdrop só tem sucesso quando você fornece o único ingrediente que ele não pode falsificar: sua própria aprovação.

Este artigo é apenas para fins educacionais e não constitui aconselhamento financeiro.