Lừa đảo phần thưởng phiếu bầu của Giao thức Apex
Mạng internet đầy rẫy những chiêu trò lừa đảo tinh vi và những cái bẫy được dàn dựng tỉ mỉ. Kẻ lừa đảo thường xuyên sao chép các trang web tiền điện tử hợp pháp và sử dụng các yếu tố thiết kế quen thuộc để đánh lừa người dùng, khiến họ có cảm giác an toàn giả tạo. Bất kỳ ai nắm giữ hoặc tương tác với tiền điện tử nên cảnh giác với các ưu đãi thưởng bất ngờ, các cuộc "thăm dò" khẩn cấp có giới hạn thời gian hoặc yêu cầu kết nối ví.
Trò lừa đảo 'Phần thưởng phiếu bầu của Giao thức Apex' gây ra điều gì?
Các nhà nghiên cứu đã phát hiện ra một trang web lừa đảo giả mạo Giao thức Apex, hứa hẹn phần thưởng token sớm cho những người nắm giữ APEX bỏ phiếu trong một khoảng thời gian ngắn. Trang web giả mạo này — được tìm thấy trên các tên miền như proposal-apex.com và có thể được sao chép trên các tên miền khác — sao chép giao diện của nền tảng chính thức để thuyết phục người dùng rằng nó là thật. Mồi nhử: nhấn nút "Bình chọn ngay", kết nối ví của bạn và nhận airdrop đặc biệt hoặc phần thưởng sớm nếu bạn bỏ phiếu trong vòng 24 giờ. Trên thực tế, việc kết nối và chấp thuận trang web sẽ kích hoạt một chữ ký hợp đồng độc hại, cấp cho kẻ rút tiền quyền di chuyển tài sản khỏi ví được kết nối.
Cuộc tấn công diễn ra như thế nào
Bước quan trọng mà trò lừa đảo này cần là một giao dịch đã ký hoặc sự chấp thuận từ ví của bạn. Chữ ký đó (tùy thuộc vào những gì bạn chấp thuận) có thể cho phép hợp đồng của kẻ tấn công chuyển token, gọi các hàm hoán đổi hoặc tự động rút tiền. Các hợp đồng rút tiền hiện đại có thể được viết để ưu tiên các token có giá trị, mô phỏng các giao dịch gửi đi hợp lý để hành vi trộm cắp không bị phát hiện trong thời gian dài hơn, và thực hiện chuyển tiền qua nhiều chuỗi hoặc nhiều loại token. Một khi tiền đã được chuyển lên chuỗi, chúng không thể bị đảo ngược — nạn nhân hiếm khi lấy lại được tài sản.
Các phương thức lừa đảo phổ biến
Hợp đồng Drainer đánh cắp tài sản sau khi có sự chấp thuận hoặc chữ ký ác ý.
Các trang lừa đảo đánh cắp cụm từ hạt giống ví/khóa riêng tư hoặc lừa người dùng dán chúng vào các ứng dụng giả mạo.
Kỹ thuật xã hội thuyết phục người dùng gửi tiền thủ công đến địa chỉ của kẻ lừa đảo (bán trước giả, chuyển tiền 'xác minh', v.v.).
Ngành tiền điện tử là mục tiêu lừa đảo ưa thích
Các hệ thống tiền điện tử kết hợp một số đặc điểm thu hút tội phạm: giao dịch là cuối cùng (không thể đảo ngược) và thường ẩn danh; việc lưu giữ tiền hoàn toàn phụ thuộc vào khóa riêng tư do người dùng kiểm soát; và hệ sinh thái DeFi phức tạp và phát triển nhanh chóng, tạo cơ hội cho các hoạt động phi kỹ thuật và gian lận kỹ thuật. Do người dùng thường xuyên phải tương tác trực tiếp với các hợp đồng thông minh, nên chỉ cần một sự chấp thuận bất cẩn cũng có thể mở đường cho việc rút tiền tự động. Sự phổ biến của các đợt ra mắt token, airdrop và các cuộc thăm dò ý kiến về "quản trị" cũng tạo ra những mồi nhử thuyết phục — những kẻ lừa đảo chỉ cần bắt chước các cơ chế hợp pháp (phiếu bầu, ảnh chụp nhanh, airdrop) để tạo ra bẫy. Cuối cùng, các kênh quảng cáo như mạng xã hội, mạo danh người có sức ảnh hưởng và mạng lưới quảng cáo cho phép kẻ gian tiếp cận nhiều nạn nhân tiềm năng một cách nhanh chóng và tiết kiệm chi phí.
Dấu hiệu của một lời đề nghị hoặc trang web gian lận
Hãy cẩn thận với các yêu cầu kết nối ví hoặc ký hợp đồng khẩn cấp, có thời hạn. Các phiếu bầu quản trị hoặc airdrop thực sự được thông báo qua các kênh chính thức (trang web dự án, tài khoản mạng xã hội đã được xác minh, diễn đàn) và không bao giờ yêu cầu ký các giao dịch tùy ý cấp quyền rộng rãi. Dấu hiệu lừa đảo bao gồm tên miền không khớp, SSL/URL kém (tên miền trông giống nhau hoặc thừa từ), yêu cầu tiết lộ cụm từ gốc hoặc xuất khóa riêng tư, và yêu cầu "xác minh" bằng cách chấp thuận chuyển khoản hoặc cấp hạn mức token không giới hạn.
Suy nghĩ cuối cùng
Kẻ gian lợi dụng lòng tin và tốc độ: chúng sao chép các giao diện quen thuộc, tạo áp lực bằng thời hạn ngắn và lợi dụng bản chất không thể đảo ngược của các giao dịch tiền điện tử. Trang 'Phần thưởng Phiếu bầu của Giao thức Apex' là một ví dụ điển hình cho chiến thuật này. Hãy luôn xác minh, đừng bao giờ ký tên một cách mù quáng và hãy mặc định rằng các ưu đãi phần thưởng không được yêu cầu là lừa đảo cho đến khi có bằng chứng chứng minh điều ngược lại.
