Oszustwo związane z nagrodami za głosowanie w protokole ApeX
Sieć jest pełna przekonujących podróbek i starannie zaaranżowanych pułapek. Oszuści rutynowo klonują legalne strony kryptowalutowe i wykorzystują znane elementy designu, aby uśpić czujność użytkowników. Każdy, kto posiada kryptowaluty lub korzysta z nich, powinien traktować nieoczekiwane oferty nagród, pilne, ograniczone czasowo „ankiety” lub prośby o połączenie portfela z natychmiastową podejrzliwością.
Spis treści
Na czym polega oszustwo „ApeX Protocol Vote Reward”?
Badacze odkryli fałszywą stronę internetową podszywającą się pod protokół ApeX, która obiecuje wczesne nagrody w postaci tokenów posiadaczom APEX, którzy zagłosują w krótkim czasie. Fałszywa strona – znajdująca się w domenach takich jak proposed-apex.com i prawdopodobnie powielona w innych – kopiuje wygląd i działanie oficjalnej platformy, aby przekonać odwiedzających, że jest autentyczna. Przynęta: naciśnij przycisk „Głosuj teraz”, podłącz portfel i otrzymaj specjalny zrzut lub wczesną nagrodę, jeśli zagłosujesz w ciągu 24 godzin. W rzeczywistości połączenie i zatwierdzenie strony uruchamia złośliwy podpis kontraktu, który przyznaje drenażowi pozwolenie na przeniesienie środków z podłączonego portfela.
Jak przebiega atak
Kluczowym krokiem, jakiego wymaga oszustwo, jest podpisana transakcja lub zatwierdzenie z portfela. Ten podpis może (w zależności od tego, co zatwierdzisz) umożliwić kontraktowi atakującego transfer tokenów, wywołanie funkcji swap lub automatyczne pobieranie środków. Nowoczesne kontrakty drenażowe mogą być tworzone w celu nadania priorytetu cennym tokenom, symulowania wiarygodnych transakcji wychodzących, aby kradzież pozostała niezauważona przez dłuższy czas, oraz wykonywania transferów między wieloma łańcuchami lub typami tokenów. Po przeniesieniu środków w łańcuchu nie można ich cofnąć — ofiary rzadko odzyskują aktywa.
Typowe metody oszustw
Kontrakty „drainer”, które kradną aktywa po uzyskaniu złośliwej zgody lub podpisu.
Strony phishingowe, które przechwytują frazy dostępu do portfela/klucze prywatne lub nakłaniają użytkowników do wklejenia ich do fałszywych aplikacji.
Inżynieria społeczna mająca na celu nakłonienie użytkowników do ręcznego wysyłania pieniędzy na adres oszusta (fałszywe przedsprzedaże, przelewy „weryfikacyjne” itp.).
Sektor kryptowalut jest ulubionym celem oszustw
Systemy kryptowalutowe łączą w sobie kilka cech, które przyciągają przestępców: transakcje są ostateczne (nieodwracalne) i zazwyczaj pseudonimowe; przechowywanie środków zależy wyłącznie od kluczy prywatnych kontrolowanych przez użytkowników; a ekosystem DeFi jest złożony i dynamiczny, co stwarza możliwości dla socjotechniki i sztuczek technicznych. Ponieważ użytkownicy często muszą bezpośrednio korzystać z inteligentnych kontraktów, pojedyncza nieuważna zgoda może otworzyć drzwi do automatycznego wyczerpywania zasobów. Powszechność premier tokenów, airdropów i sondaży „rządowych” również dostarcza przekonujących przynęt — oszuści po prostu naśladują legalne mechanizmy (głosowania, snapshoty, airdropy), aby ich pułapki były wiarygodne. Wreszcie, kanały promocyjne, takie jak media społecznościowe, podszywanie się pod influencerów i sieci reklamowe, pozwalają oszustom szybko i tanio dotrzeć do wielu potencjalnych ofiar.
Oznaki oszukańczej oferty lub witryny
Uważaj na pilne, ograniczone czasowo żądania połączenia z portfelem lub podpisania umowy. Prawdziwe głosowania dotyczące zarządzania lub zrzuty są ogłaszane za pośrednictwem oficjalnych kanałów (strona internetowa projektu, zweryfikowane konta społecznościowe, fora) i nigdy nie wymagają podpisywania arbitralnych transakcji, które przyznają szerokie uprawnienia. O oszustwie świadczą m.in. niedopasowane nazwy domen, słaba higiena SSL/URL (podobieństwa domen lub dodatkowe słowa), żądania ujawnienia frazy początkowej lub eksportu kluczy prywatnych oraz prośby o „weryfikację” poprzez zatwierdzenie transferów lub przyznanie nieograniczonej liczby tokenów.
Ostatnie myśli
Oszuści wykorzystują zaufanie i szybkość: kopiują znane interfejsy, wywierają presję krótkimi terminami i żerują na nieodwracalnej naturze transakcji kryptowalutowych. Strony „ApeX Protocol Vote Reward” są podręcznikowym przykładem tego schematu. Zawsze weryfikuj, nigdy nie podpisuj bezkrytycznie i zakładaj, że niechciane oferty nagród są oszustwem, dopóki nie zostanie udowodnione inaczej.
