הונאת הימורים של OpenxAI

תמיד הניחו שתוכן אינטרנט כלשהו מנסה להערים עליכם. הונאות המחקות שירותים לגיטימיים מתקדמות במהירות ונראות מקצועיות יותר ויותר; לחיצה אחת רשלנית או ארנק מחובר יכולים לעלות כסף אמיתי. להלן הסבר ממוקד ומומחה על אתר ההונאה 'OpenxAI Staking', כיצד הוא פועל, מדוע פרויקטים של קריפטו הם מטרות כה אטרקטיביות, וצעדים מעשיים לזיהוי ותגובה למתקפות אלו.

מהי הונאת 'OpenxAI Staking'

חוקרי אבטחה חשפו דף סטייקינג משוכפל ומרמה, המתחזה לרשת OpenxAI. האתר המזויף (שנראה באתר stake-openxai.com וכנראה מתארח בדומיינים דומים אחרים) מפרסם תשואה מפתה של עד 20% ריבית שנתית על סטייקינג אסימוני OPENX. עם זאת, הוא כעת קשור באופן כלשהו לפרויקט OpenxAI האמיתי או ל-openxai.org. מטרת הדף היא לגרום למבקרים להתחבר לארנק web3 ולחתום על עסקה המעניקה לחוזה חכם זדוני הרשאה להעביר נכסים. לאחר מתן ההרשאות, ניתן להעביר כספים באופן אוטומטי לכתובות הנשלטות על ידי התוקף.

איך ההונאה גונבת בפועל קריפטו

כאשר ארנק מחובר, הקורבנות מתבקשים לאשר חוזה או לחתום על עסקה. אישור זה הוא הרגע הקריטי: הוא יכול לאשר חוזה להעברת טוקנים מארנק המשתמש. מערכות ניקוז מתוחכמות הופכות את החילוץ לאוטומטי ואף עשויות להעריך אילו נכסים הם בעלי הערך הרב ביותר, תוך לקיחת טוקנים בעלי ערך גבוה תחילה. העברות אלו מתבצעות בשרשרת ולכן בלתי הפיכות. ברגע שהטוקנים עוזבים את הארנק, רשתות בלוקצ'יין רגילות אינן מציעות דרך מובנית לבטל אותן. מלבד מערכות ניקוז אוטומטיות, תוקפים משתמשים גם בפישינג כדי ללכוד מפתחות פרטיים או להערים על קורבנות לשלוח כספים באופן ידני.

מדוע מגזר הקריפטו הוא מטרה מרכזית

למערכות אקולוגיות של מטבעות קריפטוגרפיים יש מספר מאפיינים מבניים המושכים נוכלים:

• עסקאות בלתי הפיכות וחוסר גבייה מרכזית פירושם שברגע שהעברת הכספים, הקורבנות אינם יכולים להסתמך על חיובים חוזרים במשמורת.
• זרימות משתמשי Web3 דורשות אינטראקציות תכופות עם חוזים חכמים (אישורים, סטייקינג, החלפות), ואישור שנראה שפיר יכול להסתיר הרשאה רחבה להעברת טוקנים.
• מערכות אקולוגיות של אסימונים מקוטעות מאוד (שרשראות, גשרים, אסימונים ו-dApps רבים), מה שמגדיל את משטח ההתקפה ומקל על נוכלים ליצור שיבוטים משכנעים ודומיינים מסוג typosquatt.
• תרבות של "עשה זאת בעצמך" ושליטה עצמית מעודדת משתמשים לתקשר ישירות עם חוזים חכמים וארנקי דפדפן, נוחות רבת עוצמה שגם מגבירה את הסיכון למשתמש.

ערוצי הפצה נפוצים בהם משתמשים הנוכלים

• ספאם והודעות ישירות ברשתות חברתיות - פוסטים והודעות פרטיות מחשבונות משפיענים/פרויקטים שנפרצו או מזויפים שדוחפים את קישור הסטייקינג.
• פרסום סורר, פרסום זדוני והפניות לדפדפן - מודעות פולשניות או רשתות פרסום פגועות שחושפות את דף ההימור המרמה.
• דומיינים מסוג Typosquatting ו-Cloned Domains - כתובות URL דומות ועותקים חזותיים כמעט זהים של אתרים לגיטימיים.
• דואר זבל, SMS והודעות דחיפה - הודעות שמפתות נמענים לחבר ארנקים או לאשר עסקאות.

דגלים אדומים וסימני אזהרה שכדאי לשים לב אליהם

אפילו לדפים בעלי מבנה טוב יש סימנים ברורים אם תסתכלו מקרוב. שימו לב ל: שמות דומיין הנבדלים זה מזה בתו בודד, אישורי אבטחה חסרים או שגויים (ללא קישורים רשמיים מהפרויקט האמיתי), שפה דחופה המבטיחה ריבית שנתית גבוהה במיוחד, בקשות ל"חיבור ארנק" ולאחריהן בקשת אישור, חלונות קופצים בלתי צפויים המבקשים מפתחות פרטיים או ביטויי התחלה, ופוסטים ברשתות חברתיות שמקורם בחשבונות חדשים או באיכות נמוכה. עיצוב ויזואלי מלוטש אינו מבטיח אותנטיות, שכפולים לעתים קרובות משכפלים מיתוג במדויק.

ערנות היא ההגנה הטובה ביותר

תוקפים ימשיכו לחדד את הטקטיקות שלהם והעותקים שלהם ייראו משכנעים יותר ויותר. התייחסו לכל הצעת תשואה בלתי צפויה, חלון קופץ או בקשה לחיבור ארנק כאל פוטנציאל עוין עד שתוכלו לאמת זאת דרך ערוצים רשמיים ועצמאיים. במקרה של ספק, אל תתחברו, אל תחתמו ואל תחשפו את ה-seed שלכם. הרגלים קטנים כמו בדיקת דומיינים בקפידה, הגבלת אישורים ושימוש בארנקים קשיחים הם הדרך האמינה ביותר לשמור על בטיחות הקריפטו שלכם.