في عالم العملات المشفرة ، والتمويل اللامركزي (Defi) ، و Web3 ، أصبح الإسقاط الجوي أمرًا شائعًا في الصناعة. ومع ذلك ،
على الرغم من أن عمليات الإسقاط الجوي تبدو وكأنها أموال مجانية ، إلا أن هناك اتجاهًا متزايدًا لعمليات التصيد الاحتيالي التي
تتم عبر الإسقاط الجوي والتي تسرق أموال الأشخاص عندما يحاولون الحصول على ما يسمى بأصول التشفير “المجانية”. فيما
يلي نظرة على طريقتين مختلفتين يستخدم فيهما المهاجمون حيل التصيد عبر الإنزال الجوي لسرقة الأموال وكيف يمكنك حماية نفسك.
لا تعني Airdrops دائمًا “تشفير مجاني” – تتطلع العديد من عروض Airdrop الهبة الترويجية إلى سرقتك
لقد كان Airdrops مرادفًا لأموال التشفير المجانية ، لدرجة أن عملية احتيال التشفير المتصاعدة التي تسمى التصيد الهوائي
أصبحت سائدة. إذا كنت مشاركًا في مجتمع التشفير وتستخدم منصات الوسائط الاجتماعية مثل Twitter أو Facebook ، فمن
المحتمل أنك رأيت عددًا من منشورات البريد العشوائي للإعلان عن عمليات الإنزال الجوي بجميع أنواعها.
عادةً ، يقوم حساب تشفير Twitter الشهير بتغريدة ويتبعها عدد كبير من المحتالين الذين يعلنون عن محاولات التصيد عبر الهواء
والعديد من الحسابات التي تقول إنهم تلقوا أموالاً مجانية. لن يقع معظم الأشخاص في هذه الحيل الخادعة من خلال عمليات
الإنزال الجوي ، ولكن نظرًا لأن عمليات الإنزال الجوي تعتبر تشفيرًا مجانيًا ، فقد كان هناك مجموعة من الأشخاص الذين فقدوا
أموالهم من خلال الوقوع ضحية لهذه الأنواع من الهجمات.
يستخدم الهجوم الأول نفس طريقة الإعلان على وسائل التواصل الاجتماعي ، حيث يقوم عدد من الأشخاص أو الروبوتات بإرسال
رابط يؤدي إلى صفحة الويب الخاصة بخداع التصيد عبر الإنزال الجوي. قد يبدو موقع الويب المشبوه شرعيًا للغاية وحتى أنه ينسخ
بعض العناصر من مشاريع Web3 الشهيرة ، ولكن في النهاية ، يسعى المحتالون إلى سرقة الأموال. قد تكون عملية احتيال
الإسقاط المجاني رمزًا مشفرًا غير معروف ، أو قد تكون أيضًا أحد الأصول الرقمية الحالية الشائعة مثل BTC و ETH و SHIB و DOGE والمزيد.
يُظهر الهجوم الأول عادةً أن الإسقاط الجوي قابل للاستلام ولكن يجب على الشخص استخدام محفظة Web3 متوافقة لاسترداد
ما يسمى بالأموال “المجانية”. سيؤدي موقع الويب إلى صفحة تعرض جميع محافظ Web3 الشهيرة مثل Metamask وغيرها ،
ولكن هذه المرة ، عند النقر على رابط المحفظة ، سيظهر خطأ وسيطلب الموقع من المستخدم العبارة الأولية.
هذا هو المكان الذي تصبح فيه الأشياء مشبوهة لأن محفظة Web3 لن تطلب مطلقًا البذرة أو عبارة ذاكري 12-24 إلا إذا كان
المستخدم يستعيد المحفظة بشكل نشط. ومع ذلك ، قد يعتقد مستخدمو عملية التصيد الاحتيالي غير المرغوبة أن الخطأ
مشروع ويدخلون البذور الخاصة بهم في صفحة الويب مما يؤدي في النهاية إلى فقدان جميع الأموال المخزنة في المحفظة.
في الأساس ، أعطى المستخدم المفاتيح الخاصة للمهاجمين من خلال الوقوع في صفحة خطأ محفظة Web3 للمطالبة بعبارة
ذاكري. لا ينبغي أبدًا لأي شخص إدخال عبارة “ذاكري” من 12 إلى 24 إذا طلب ذلك مصدر غير معروف ، وما لم تكن هناك حاجة
لاستعادة المحفظة ، فليس هناك حقًا حاجة لإدخال عبارة أولية عبر الإنترنت.
إعطاء أذونات Shady Dapp ليست أفضل فكرة
الهجوم الثاني أكثر تعقيدًا ، ويستخدم المهاجم تقنيات الكود لسرقة مستخدم محفظة Web3. وبالمثل ، سيتم الإعلان عن عملية
التصيد الاحتيالي عبر الإسقاط الجوي على وسائل التواصل الاجتماعي ، ولكن هذه المرة عندما يزور الشخص بوابة الويب ، يمكنه
استخدام محفظة Web3 الخاصة به “للاتصال” بالموقع.
ومع ذلك ، فقد كتب المهاجم الكود بطريقة تجعله بدلاً من منح الموقع حق الوصول للقراءة إلى الأرصدة ، يمنح المستخدم في
النهاية الإذن الكامل للموقع لسرقة الأموال الموجودة في محفظة Web3. يمكن أن يحدث هذا ببساطة عن طريق توصيل محفظة
Web3 بموقع احتيالي ومنحه الأذونات. يمكن تجنب الهجوم ببساطة من خلال عدم الاتصال بالموقع والمغادرة ، ولكن هناك الكثير
من الأشخاص الذين وقعوا في هجوم التصيد الاحتيالي هذا.
Here’s the latest phishing scam
1️⃣ Airdrop a token
2️⃣ Build a website with same name so it’s easily found
3️⃣ When you find what appears to be staking for this token, the Approve txn gives unlimited spending of other tokens (ie SNX)Then they drain your wallet of the token. pic.twitter.com/vICIeC5rGk
— DeFi Dad ⟠ defidad.eth 🐡 (@DeFi_Dad) December 20, 2021
هناك طريقة أخرى لتأمين المحفظة وهي التأكد من أن أذونات Web3 الخاصة بالمحفظة متصلة بالمواقع التي يثق بها المستخدم.
إذا كانت هناك أي تطبيقات لامركزية (dapps) تبدو مشبوهة ، فيجب على المستخدمين إزالة الأذونات إذا اتصلوا عن طريق الخطأ
بـ dapp من خلال الوقوع في عملية احتيال التشفير “المجانية”. ومع ذلك ، عادة ما يكون قد فات الأوان ، وبمجرد حصول dapp
على إذن للوصول إلى أموال المحفظة ، تتم سرقة العملة المشفرة من المستخدم عبر الترميز الضار المطبق على dapp.
أفضل طريقة لحماية نفسك من الهجومين المذكورين أعلاه هي عدم إدخال العبارة الأولية الخاصة بك على الإنترنت إلا إذا كنت
تستعيد محفظة عن قصد. إلى جانب ذلك ، من الجيد أيضًا عدم الاتصال مطلقًا أو منح أذونات محفظة Web3 لمواقع ويب Web3
المشبوهة و dapps التي لم تكن معتادًا على استخدامها. يمكن أن يتسبب هذان الهجومان في خسائر فادحة للمستثمرين
المطمئنين إذا لم يكونوا حذرين من اتجاه التصيد الاحتيالي الحالي للإسقاط الجوي.
