背景

在上一期Web3安全入門避坑指南中，我們主要講解了多簽釣魚的相關知識，包括多簽機制、造成多簽的原因及如何避免錢包被惡意多簽等內容。本期我們要講解的是一種無論在傳統行業(yè)還是加密領域，都被視為有效的營銷手段—— 空投。

空投能夠在短時間內將項目從默默無聞推向大眾視野，迅速積累用戶基礎，提升市場影響力。用戶在參與Web3項目時，需要點擊相關鏈接、與項目方交互以獲取空投Tokens，然而從高仿網站到帶后門的工具，黑客早已在用戶領空投過程的上下游布滿了陷阱。因此，本期我們將通過分析一些典型的空投*騙*局來講解相關風險，幫助大家避坑。什么是空投

Web3項目方為了增加項目的知名度和實現初期用戶的積累，常常會免費向特定錢包地址分發(fā)Tokens，這一行為被稱為“空投”。對項目方而言，這是獲得用戶最直接的方式。根據獲取空投的方式，空投通?？梢苑譃橐韵聨最悾?/p>

任務型：完成項目方指定的任務，如轉發(fā)、點贊等。

交互型：完成兌換Tokens、發(fā)/收Tokens、跨鏈等操作。

持有型：持有項目方指定的Tokens以獲得空投Tokens。

質押型：通過單幣或雙幣質押、提供流動性或進行長期鎖倉來獲得空投Tokens。

領空投時的風險

假空投*騙*局

此類*騙*局又可以細分為以下幾種：

1.黑客盜取項目方的官方賬號發(fā)布假空投的消息。我們經?？梢栽谫Y訊平臺上看到“某項目的X賬號或者Discord賬號被黑，請廣大用戶不要點擊黑客發(fā)布的釣魚鏈接”的安全提醒。據慢霧2024上半年Blockchain安全與反*洗*錢報告的數據，僅2024上半年，項目方賬號被黑事件就有27件。用戶基于對官方賬號的信任而點擊這些鏈接，進而被引導至偽裝成空投的釣魚網站。一旦在釣魚網站上輸入了私鑰/助記詞或授權了相關權限，黑客就能盜走用戶的資產。

3.第三種詐騙套路更可惡，妥妥的騙子，他們潛伏在Web3項目的群組里，挑選目標用戶進行社會工程攻擊，有時以空投為誘餌，“教”用戶按照要求轉移Tokens以獲取空投。請廣大用戶提高警惕，不要輕易相信主動聯系你的“官方客服”或是“教”你如何操作的網友，這些人大概率是騙子，你只是想領個空投，結果卻損失慘重。

通過這種方式，黑客巧妙地利用用戶的Gas費為自己牟利，而用戶可能并未察覺到他們已經支付了額外的Gas費。用戶本以為可以通過出售空投Tokens獲利，結果卻被盜取了原生資產。

帶后門的工具

總結

在本期指南中，我們主要通過分析*騙*局的方式為大家講解領空時會有哪些風險，現在許多項目都把空投作為營銷手段，用戶可以通過以下措施減少在領空投過程中資產受損的可能性：

多方驗證，訪問空投網站時，請仔細檢查網址，可以通過項目的官方賬號或公告渠道確認，還可以安裝釣魚風險阻斷插件（如ScamSniffer），協助識別釣魚網站。

錢包分級，用于領空投的錢包存放小額資金，把大額資金放在冷錢包。

對于從未知來源收到的空投Tokens要保持警惕，不要輕易執(zhí)行授權/簽名操作。

注意檢查交易的Gas限額是否異常高。

使用知名殺毒軟件，如卡巴斯基、AVG等，保持實時防護開啟，并隨時更新最新病毒庫。