„OpenxAI“ stakingo sukčiai
Visada manykite, kad jus bando apgauti tam tikras interneto turinys. Sukčiavimo atvejai, imituojantys teisėtas paslaugas, plinta greitai ir atrodo vis profesionaliau; vienas neatsargus paspaudimas ar prijungta piniginė gali kainuoti tikrus pinigus. Žemiau pateikiamas glaustas, ekspertų paaiškinimas apie apgaulingą „OpenxAI Staking“ svetainę, kaip ji veikia, kodėl kriptovaliutų projektai yra tokie patrauklūs taikiniai ir praktiniai žingsniai, kaip pastebėti šias atakas ir į jas reaguoti.
Turinys
Kas yra „OpenxAI statymo“ sukčiavimas?
Saugumo tyrėjai atskleidė klonuotą, apgaulingą steikingo puslapį, kuris apsimeta „OpenxAI“ tinklu. Netikra svetainė (matoma stake-openxai.com ir greičiausiai talpinama kituose panašiuose domenuose) reklamuoja viliojantį iki 20 % metinių palūkanų normų už OPENX žetonų steikingą. Tačiau šiuo metu ji nėra susijusi su tikruoju „OpenxAI“ projektu ar openxai.org. Puslapio tikslas – priversti lankytojus prisijungti prie „web3“ piniginės ir pasirašyti operaciją, kuri suteikia kenkėjiškai išmaniajai sutarčiai leidimą pervesti turtą. Suteikus leidimus, lėšos gali būti automatiškai pervestos į užpuoliko kontroliuojamus adresus.
Kaip sukčiai iš tikrųjų vagia kriptovaliutą
Kai prijungiama piniginė, aukos raginamos patvirtinti sutartį arba pasirašyti operaciją. Šis patvirtinimas yra kritinis momentas: jis gali autorizuoti sutartį, pagal kurią būtų perkeliami žetonai iš vartotojo piniginės. Patyrę duomenų išgavimo įrankiai automatizuoja išgavimą ir netgi gali įvertinti, kuris turtas yra vertingiausias, pirmiausia paimdami didelės vertės žetonus. Šie pervedimai vyksta grandinėje ir todėl yra negrįžtami. Kai žetonai palieka piniginę, įprastos blokų grandinės nesiūlo integruoto būdo juos atšaukti. Be automatinių duomenų išgavimo įrankių, užpuolikai taip pat naudoja sukčiavimą apsimetant, kad užfiksuotų privačius raktus arba apgautų aukas, kad jos rankiniu būdu perduotų lėšas.
Kodėl kriptovaliutų sektorius yra pagrindinis taikinys
Kriptovaliutų ekosistemos turi keletą struktūrinių savybių, kurios pritraukia sukčius:
- Neatšaukiamos operacijos ir centralizuoto išieškojimo nebuvimas reiškia, kad lėšoms perkėlus lėšas aukos negali pasikliauti grąžinamaisiais mokėjimais.
- „Web3“ naudotojų srautams reikalinga dažna sąveika su išmaniosiomis sutartimis (patvirtinimai, statymai, mainai), o nekenksmingas patvirtinimas gali paslėpti platų leidimą perduoti žetonus.
- Žetonų ekosistemos yra labai suskaidytos (daug grandinių, tiltų, žetonų, dApp), todėl padidėja atakų paviršius ir sukčiams lengva kurti įtikinamus klonus ir tipografijos klaidų taisymus turinčius domenus.
- „Pasidaryk pats“ ir savikontrolės kultūra skatina vartotojus tiesiogiai sąveikauti su išmaniosiomis sutartimis ir naršyklės piniginėmis – tai didelis patogumas, kuris taip pat padidina vartotojo riziką.
Įprasti sukčių naudojami platinimo kanalai
- Šlamštas socialiniuose tinkluose ir tiesioginės žinutės – įrašai ir tiesioginės žinutės iš pažeistų ar netikrų influencerių / projektų paskyrų, kuriose skleidžiama nuoroda.
- Nesąžininga reklama, kenkėjiška reklama ir naršyklės peradresavimai – įkyrūs skelbimai arba pažeisti skelbimų tinklai, kurie rodo apgaulingą skelbimų puslapį.
- Spausdinimo klaidos ir klonuoti domenai – panašūs URL adresai ir beveik identiškos teisėtų svetainių vizualinės kopijos.
- Šlamštas – el. laiškai, SMS žinutės ir tiesioginiai pranešimai – žinutės, kurios vilioja gavėjus prisijungti prie piniginių arba patvirtinti operacijas.
Raudonos vėliavos ir įspėjamieji ženklai, į kuriuos reikia atkreipti dėmesį
Net ir gerai sukurti puslapiai, atidžiai įsižiūrėjus, turi iškalbingų ženklų. Atkreipkite dėmesį į: domenų vardus, kurie skiriasi vienu simboliu, trūkstamus arba neteisingus saugumo duomenis (nėra oficialių nuorodų į tikrąjį projektą), skubią kalbą, žadančią neįprastai dideles metines palūkanų normas, prašymus „prijungti piniginę“, po kurių iš karto pateikiamas patvirtinimo raginimas, netikėtus iššokančius langus, kuriuose prašoma privačių raktų ar sėklos frazių, ir socialinių tinklų įrašus, kurie yra iš naujų arba žemos kokybės paskyrų. Išbaigtas vizualinis dizainas negarantuoja autentiškumo, klonai dažnai tiksliai atkartoja prekės ženklą.
Budrumas yra geriausia gynyba
Užpuolikai ir toliau tobulins savo taktiką, o jų kopijos atrodys vis įtikinamiau. Kiekvieną netikėtą pelningumo pasiūlymą, iššokantįjį langą ar prašymą prijungti piniginę laikykite potencialiai priešišku, kol negalėsite to patikrinti nepriklausomais, oficialiais kanalais. Kilus abejonių, neprisijunkite, nepasirašykite ir neatskleiskite savo „seed“. Maži įpročiai, tokie kaip kruopštus domenų tikrinimas, patvirtinimų ribojimas ir apsaugotų piniginių naudojimas, yra patikimiausias būdas apsaugoti savo kriptovaliutą.
