作者：SlowMist

编译：深潮TechFlow

背景

在我们之前关于 Web3 安全的指南中，我们讨论了多重签名钓鱼的主题，介绍了多重签名钱包的工作原理、攻击者如何利用这些钱包，以及如何保护你的钱包免受恶意签名的侵害。在本期中，我们将深入探讨一种在传统和加密行业中广泛使用的营销策略——空投（airdrops）。

空投可以迅速将一个项目从默默无闻推向聚光灯，帮助其快速建立用户基础并提升市场知名度。通常，用户通过点击链接并与项目互动来参与 Web3 项目，以领取空投的代币。然而，从假冒网站到带有后门的工具，黑客在整个空投过程中设置了陷阱。本指南将分析常见的空投诈骗，帮助你避免这些陷阱。

什么是空投？

空投是指 Web3 项目向特定钱包地址分发免费代币，以提高其可见性并吸引早期用户。这是项目获取用户基础的最直接方法之一。根据领取方式，空投一般可以分为以下几种类型：

• 基于任务的：完成项目指定的任务，例如分享内容或点赞。

• 基于互动的：进行代币交换、发送/接收代币或跨链操作等行为。

• 基于持有的：持有项目指定的代币以符合空投资格。

• 基于质押的：通过单资产或双资产质押、提供流动性或长期锁仓来赚取空投代币。

领取空投的风险

假空投诈骗

这些诈骗可以分为几种类型：

1. 劫持官方账户：黑客可能控制项目的官方账户并发布假空投公告。例如，新闻平台上常见的警报会显示：“项目 Y 的 X 或 Discord 账户已被黑客入侵；请勿点击黑客分享的钓鱼链接。根据我们2024年中期区块链安全和反洗钱报告，2024年上半年仅发生了27起此类事件。用户信任官方账户，可能会点击这些链接并被重定向到伪装成空投页面的钓鱼网站。如果他们输入私钥、助记词或授予权限，黑客就能窃取他们的资产。

2. 评论区冒充：黑客常常创建假项目账户，并在真实项目的社交媒体评论中发布声称提供空投的信息。不小心的用户可能会跟随这些链接进入钓鱼网站。例如，SlowMist 安全团队曾分析过这些策略，并在一篇名为“警惕评论区冒充的文章中提供了建议。此外，在合法空投宣布后，黑客会迅速通过假账户发布钓鱼链接，模仿官方账户。许多用户因此被欺骗，安装了恶意应用或在钓鱼网站上进行了交易签署。