Penipuan Jualan MegaETH Palsu
Internet memudahkan untuk menemui projek baharu — dan sama mudahnya untuk penyerang membina halaman penipu yang meyakinkan. Skim Jualan MegaETH Palsu adalah peringatan bahawa tawaran menarik, halaman yang digilap atau logo biasa tidak menjamin kesahihan. Menyemak imbas dan melabur dengan selamat bermakna merawat halaman jualan yang tidak dijangka, gesaan segera untuk 'menyambungkan dompet' atau menawarkan yang terdengar terlalu bagus untuk menjadi kenyataan dengan keraguan yang mendalam.
Isi kandungan
Apa Yang Dilakukan Penipuan
Penyelidik yang menyiasat kempen ini menemui tapak klon yang meniru rupa dan rasa projek MegaETH sebenar. Halaman serangan yang dihoskan pada domain seperti sale-megaeth.com dan megaeth-live.xyz (dan mungkin yang lain) berpura-pura menawarkan jualan terhad masa. Apabila pelawat mengikut umpan dan menyambungkan dompet crypto mereka, tapak tersebut meminta dompet itu untuk meluluskan atau menandatangani kontrak. Kelulusan yang ditandatangani itu boleh melaksanakan 'penapis' — kontrak pintar atau skrip yang secara automatik mengalihkan aset daripada dompet yang disambungkan.
Pengering ini semakin canggih. Daripada mengosongkan setiap aset secara terus-terang, sesetengah pihak boleh mengimbas baki dompet, menganggarkan nilai token dan mengutamakan aset bernilai tinggi. Mereka kemudian mencetuskan urus niaga keluar yang kelihatan seperti aktiviti blockchain biasa, jadi mangsa mungkin tidak menyedari sehingga baki hilang. Oleh kerana urus niaga blockchain adalah muktamad, dana yang diambil dengan cara ini hampir tidak dapat dipulihkan.
Mengapa Ekosistem Kripto Adalah Sasaran Yang Begitu kerap
Terdapat beberapa ciri yang wujud dalam ruang kripto yang menjadikannya menarik kepada penipu:
Transaksi tanpa kebenaran dan tidak boleh balik : Rantaian sekat membenarkan kontrak dan pemindahan dilaksanakan tanpa penjaga pintu. Apabila penyerang mendapat kelulusan atau tandatangan, mereka boleh memindahkan aset dan pemindahan tersebut tidak boleh diterbalikkan oleh pihak berkuasa pusat.
UX Wallet menggalakkan tandatangan : Banyak dApps memerlukan sambungan dompet dan tandatangan transaksi untuk berfungsi. Aliran yang sah ini mudah disalahgunakan oleh penipu — pengguna disyaratkan untuk menerima gesaan tandatangan, yang mengurangkan syak wasangka.
Bahasa dan antara muka kontrak yang kompleks : Permintaan transaksi dan kelulusan sering menunjukkan data teknikal yang tidak difahami oleh pengguna biasa, jadi kelulusan berniat jahat boleh disembunyikan di dalam gesaan yang nampaknya biasa.
Pemindahan nama samaran dan penghalaan silang rantai : Penyerang boleh mengalihkan dana yang dicuri dengan cepat merentasi alamat dan rantaian, mencampurkannya melalui pelbagai perkhidmatan untuk menggagalkan penjejakan dan pemulihan.
Inovasi pantas dan kitaran gembar-gembur : Projek baharu dan pelancaran token mencipta FOMO. Penipu mengeksploitasi tergesa-gesa itu dengan umpan 'akses awal' atau 'jualan eksklusif'.
Permukaan serangan yang luas untuk pengedaran : Platform sosial, rangkaian iklan, pemberitahuan penyemak imbas dan tapak web yang terjejas menyediakan banyak saluran untuk menjangkau mangsa dengan cepat dan pada skala.
Tanda-tanda Biasa Tawaran Penipuan
- Domain tidak sepadan, kesilapan menaip halus atau domain peringkat atas yang luar biasa (contohnya, tapak yang secara visual sepadan dengan 'MegaETH' tetapi menggunakan domain yang berbeza).
- Bahasa segera atau 'masa terhad' menawarkan tekanan kepada anda untuk berhubung dengan segera.
- Permintaan untuk menandatangani kelulusan yang memberikan kebenaran yang luas dan tidak terhad untuk memindahkan token
- Sumber yang buruk atau luar biasa dalam promosi media sosial — DM atau siaran daripada akaun yang baru dibuat, atau mesej daripada akaun sebenar yang terjejas.
- Pop timbul yang meminta sambungan dompet atau tandatangan tanpa sebab yang jelas dan boleh diaudit.
Bagaimana Halaman Ini Tersebar
Penyerang menolak halaman palsu melalui banyak saluran: rangkaian iklan penyangak dan penyelewengan, e-mel dan SMS spam, URL yang ditipu, pemberitahuan penyemak imbas mengganggu, perisian iklan, tapak sah yang digodam yang menyediakan pop timbul berniat jahat dan spam media sosial (termasuk mesej daripada akaun yang dicuri atau ditiru). Pop timbul mengganggu itu sendiri kadangkala boleh mengandungi penyalir berfungsi sepenuhnya.
Langkah Segera Jika Anda Menyambungkan Dompet Anda
Batalkan kelulusan: Gunakan perkhidmatan yang bereputasi baik (contohnya, penonton kelulusan token dalam rantaian) untuk mencari dan membatalkan sebarang kelulusan tanpa had atau mencurigakan terkini yang terikat dengan alamat anda.
Pindahkan baki dana : Jika boleh, alihkan aset yang tidak terjejas ke dompet selamat baharu (sebaik-baiknya dompet perkakasan) selepas membatalkan kelulusan.
Hubungi perkhidmatan jagaan : Jika dana yang dicuri dihantar ke bursa, maklumkan bursa tersebut dengan segera — sesetengah platform boleh membekukan aset jika dilaporkan dengan cepat.
Bukti dokumen : Catatkan cincang transaksi, tangkapan skrin dan nama domain; ini akan membantu laporan kepada bursa atau penguatkuasaan undang-undang.
Tukar akses pada perkhidmatan terpaut : Jika anda menggunakan e-mel atau bukti kelayakan yang sama di tempat lain, kemas kini kata laluan dan dayakan MFA.
Amalan Pencegahan Terbaik
Pengurangan kepercayaan dan tabiat lebih penting daripada alat sahaja. Pertahanan yang baik termasuk menyimpan kebanyakan dana dalam dompet sejuk/perkakasan dan hanya menyambungkan dompet panas kepada dApp yang dipercayai dan diaudit; memeriksa setiap permintaan tandatangan (cari jumlah elaun dan alamat penerima); mengelakkan kelulusan token tanpa had; menguji tapak baharu dengan transaksi kecil yang bernilai rendah; menanda buku domain projek rasmi dan mengesahkan pengendalian sosial daripada dokumentasi projek; memasang pelanjutan penyekatan iklan dan anti-perisian hasad yang bereputasi; dan memperlakukan pautan atau DM yang tidak diminta dengan syak wasangka.
Nota Akhir
Penipu semakin menghasilkan halaman penipuan berkualiti tinggi yang secara visual tidak dapat dibezakan daripada tapak yang sah. Penampilan profesional bukan jaminan. Biasakan untuk mengesahkan domain, menyemak semula kelulusan kontrak, menggunakan kebenaran minimum dan boleh ditarik balik, dan menyimpan baki yang besar daripada dompet yang anda gunakan untuk interaksi web. Kewaspadaan — bukan amanah — adalah satu-satunya perlindungan terbaik.
