網(wǎng)絡(luò)釣魚(yú)觀察：空投詐騙

隨著加密貨幣的增長(zhǎng)，其用戶(hù)已成為網(wǎng)絡(luò)釣魚(yú)者越來(lái)越熱門(mén)的目標(biāo)。每次我們使一種類(lèi)型的網(wǎng)絡(luò)釣魚(yú)變得更加困難時(shí)，網(wǎng)絡(luò)釣魚(yú)者都會(huì)提出新技術(shù)，因此，了解最新的詐騙并考慮如何保護(hù)自己（以及朋友和用戶(hù)）免受這些攻擊符合每個(gè)人的最大利益.

最近越來(lái)越流行的一種方法是我們所說(shuō)的“空投詐騙”。典型的空投騙局涉及鑄造新的惡意令牌，將其發(fā)送到用戶(hù)帳戶(hù)，并依靠用戶(hù)調(diào)查這個(gè)神秘令牌是什么來(lái)釣魚(yú)這些用戶(hù)。

您可以在此處觀看有關(guān)此類(lèi)騙局的視頻探索：

完全依賴(lài) MetaMask 持有代幣的用戶(hù)不容易受到這種攻擊，因?yàn)?MetaMask 一直堅(jiān)持不自動(dòng)檢測(cè)未知代幣的堅(jiān)定立場(chǎng)，我們只檢測(cè)符合高可信度標(biāo)準(zhǔn)的代幣，因?yàn)槲覀円呀?jīng)早就認(rèn)識(shí)到這是一種攻擊和迷惑用戶(hù)的策略。

當(dāng)用戶(hù)環(huán)顧其他網(wǎng)站和錢(qián)包時(shí)，問(wèn)題就開(kāi)始了，這些網(wǎng)站和錢(qián)包以代幣作者選擇的名稱(chēng)顯示區(qū)塊鏈上的任何代幣。有時(shí)，這些其他錢(qián)包或區(qū)塊瀏覽器甚至?xí)鶕?jù)在自動(dòng)做市商 (AMM) 交易所上容易偽造的流動(dòng)性頭寸，樂(lè)觀地為該代幣提供價(jià)值。然而，這些代幣的行為不像普通代幣，當(dāng)這些用戶(hù)嘗試交換它們時(shí)，他們會(huì)拋出一個(gè)錯(cuò)誤（其文本也由惡意合約作者提供），這會(huì)將用戶(hù)引導(dǎo)到網(wǎng)絡(luò)釣魚(yú)站點(diǎn)尋求幫助，他們?cè)谀抢镝烎~(yú)。

這種攻擊依賴(lài)于幾種用戶(hù)行為：

• 用戶(hù)檢查區(qū)塊瀏覽器的代幣余額。

• 區(qū)塊瀏覽器會(huì)自動(dòng)檢測(cè)并顯示任何鑄造的代幣（即使任何人都可以鑄造“命名”任何東西的代幣，并且代幣名稱(chēng)完全沒(méi)有安全性）。

• 用戶(hù)期望檢測(cè)到的代幣具有價(jià)值，或者網(wǎng)站樂(lè)觀地將 AMM 價(jià)格呈現(xiàn)為價(jià)格預(yù)言機(jī)。

• 調(diào)查自動(dòng)檢測(cè)到的令牌的用戶(hù)。

• 然后用戶(hù)信任他們的調(diào)查，批準(zhǔn)交易，甚至將他們的秘密恢復(fù)短語(yǔ)提供給與這些令牌相關(guān)的網(wǎng)站。

• 用戶(hù)希望了解交易失敗的原因，并相信所呈現(xiàn)的錯(cuò)誤消息代表了可靠的信息。

令牌自動(dòng)檢測(cè)是一個(gè)棘手的情況。MetaMask 對(duì)令牌檢測(cè)采取了保守的方法，因?yàn)槲覀儗幵缸層脩?hù)必須自己添加令牌而不是暴露在網(wǎng)絡(luò)釣魚(yú)者的令牌中，但是如果用戶(hù)甚至依賴(lài)于單個(gè)大規(guī)模檢測(cè)令牌列表，他們就會(huì)自己容易受到這種攻擊。

MetaMask 一直致力于使令牌檢測(cè)更加有效和值得信賴(lài)，從多個(gè)來(lái)源匯總我們的自動(dòng)檢測(cè)列表，并主動(dòng)阻止已知的詐騙，并致力于讓用戶(hù)更輕松地訂閱（和共享）他們自己的受信任令牌列表。

雖然可信列表可能是一個(gè)長(zhǎng)期的解決方案，但同時(shí)我們有許多工具（尤其是區(qū)塊瀏覽器，還有一些錢(qián)包）非?？释麢z測(cè)任何空投的代幣。這可能會(huì)導(dǎo)致網(wǎng)絡(luò)釣魚(yú)、騷擾和不請(qǐng)自來(lái)的消息。從短期來(lái)看，如果所有工具開(kāi)發(fā)人員都更認(rèn)真地對(duì)待這種攻擊，并考慮我們?cè)谧詣?dòng)檢測(cè)未過(guò)濾的區(qū)塊鏈活動(dòng)時(shí)讓用戶(hù)面臨的風(fēng)險(xiǎn)，那將是有價(jià)值的。

隨著去中心化網(wǎng)絡(luò)規(guī)模的擴(kuò)大，所有資產(chǎn)的自動(dòng)檢測(cè)將變得越來(lái)越不可持續(xù)，因此現(xiàn)代預(yù)期存在安全性和可擴(kuò)展性問(wèn)題。應(yīng)該完美地管理單個(gè)全局提要的想法是一種非常 Web2 的思維方式，我們認(rèn)為至關(guān)重要的是我們開(kāi)始認(rèn)識(shí)到未經(jīng)過(guò)濾的提要使我們所有人暴露于來(lái)自不可信來(lái)源的協(xié)同攻擊的方式。

Web3 就是要建立更好的做事方式。這有時(shí)可能意味著某些新方式會(huì)讓人感覺(jué)很不舒服，例如管理帳戶(hù)備份或手動(dòng)訂閱代幣，但正是這些用戶(hù)責(zé)任行為使權(quán)力從任何中央方和整個(gè)用戶(hù)網(wǎng)絡(luò)下放。

我希望您在查看任何全球數(shù)據(jù)來(lái)源時(shí)要小心，并始終考慮“有人需要什么才能產(chǎn)生這些數(shù)據(jù)？”。通常，沒(méi)有什么可以阻止騙子將他們想要的任何東西放在您的眼前。

在外面保持安全！