KEN:意外獲得空投獎勵？小心資產被掏空！_Lazio Fan Token

原標題：明明是空投，為什么幣沒了？

“空投”一詞，對很多玩過大逃殺類游戲的人并不陌生，在游戲中會在固定的時間出現空投物資補給，但是空投的位置是隨機投放，經常會吸引一大波“追夢人”去前往爭搶拾取，所以在空投周圍經常會發生遭遇戰，即使在遭遇戰中取得勝利獲得了空投補給，也時常被其他埋伏的玩家坐收漁翁之利割了韭菜，每個空投在帶來高額收益的同時，也往往包含著巨大的風險。

“空投往自己身上砸”，應該不少玩家都做過這個美夢，那在虛擬貨幣的世界，被空投砸中是“幸運天選”還是另有貓膩呢？

什么是虛擬貨幣空投

關注虛擬貨幣的朋友，應該都聽說過“糖果”和“空投”，那糖果和空投分別是什么呢？兩者又有什么區別呢？

區塊鏈項目方為了造勢通過發放“免費的午餐”，以此來培養忠實用戶，快速吸引更多的人來參與，增加項目本身的影響力，有點類似前些年打車軟件、外賣平臺的“燒錢式營銷”，所以糖果和空投本質上都是為了快速獲得市場的營銷方式而付出的推廣成本。

安全團隊：跨鏈DEX聚合器Transit Swap因任意外部調用問題被黑，被盜資金規模超2300萬美元:10月2日消息，據慢霧安全團隊情報，2022年10月2號跨鏈DEX聚合器TransitSwap項目遭到攻擊，導致用戶資產被非預期的轉出。慢霧安全團隊分析評估此次被盜資金規模超過2300萬美元，黑客地址為0x75F2...FD46和0xfa71...90fb。接著對此次攻擊過程進行了分析：

1. 當用戶在Transit Swap進行swap時，會先通過路由代理合約(0x8785bb...)根據不同的兌換類型選擇不同的路由橋合約。隨后路由橋合約(0x0B4727...)會通過權限管理合約(0xeD1afC...)的 claimTokens 函數將用戶待兌換的代幣轉入路由橋合約中。因此在代幣兌換前用戶需要先對權限管理合約(0xeD1afC...)進行授權。

2. 而 claimTokens 函數是通過調用指定代幣合約的 transferFrom 函數進行轉賬的。其接收的參數都由上層路由橋合約(0x0B4727...)傳入，本身沒有對這些參數進行任何限制只檢查了調用者必須為路由代理合約或路由橋合約。

3. 路由橋合約(0x0B4727...)在接收到用戶待兌換的代幣后會調用兌換合約進行具體的兌換操作，但兌換合約的地址與具體的函數調用數據都由上層路由代理合約(0x8785bb...)傳入，路由橋合約并未對解析后的兌換合約地址與調用數據進行檢查。

4. 而代理合約(0x8785bb...)對路由橋合約(0x0B4727...)傳入的參數也都來自于用戶傳入的參數。且代理合約(0x8785bb...)僅是確保了用戶傳入的 calldata 內各數據長度是否符合預期與所調用的路由橋合約是在白名單映射中的地址，未對 calldata 數據進行具體檢查。

5. 因此攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷。通過路由代理合約傳入構造后的數據調用路由橋合約的 callBytes 函數。callBytes 函數解析出攻擊者指定的兌換合約與兌換數據，此時兌換合約被指定為權限管理合約地址，兌換數據被指定為調用 claimTokens 函數將指定用戶的代幣轉入攻擊者指定的地址中。實現了竊取所有對權限管理合約進行授權的用戶的代幣。

此次攻擊的主要原因在于 Transit Swap 協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題。攻擊者利用此任意外部調用問題竊取了用戶對Transit Swap授權的代幣。

截止到目前，黑客已將 2,500 BNB 轉移到 Tornado Cash，剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現，黑客存在從 LATOKEN 等平臺存提款的痕跡。慢霧 MistTrack 將持續跟進被盜資金的轉移以及黑客痕跡的分析。[2022/10/2 18:37:27]

糖果

美國1月非農就業數據意外好于預期，現貨黃金下挫、美元指數飆升:2月4日，美國1月非農就業人數增加46.7萬人，為去年10月以來最大增幅，預估為15萬人，前值19.9萬人上修至51萬人。

美國1月非農就業人口數據意外好于預期，美元指數短線飆升逾30點，報95.62；現貨黃金短線跌逾10美元，報1803.11美元/盎司。（財聯社）[2022/2/4 9:31:22]

糖果就是指區塊鏈項目方給早期用戶獎勵的代幣，等待該項目上線交易所后，贈送的代幣是可以在交易所直接變現的。

獎勵方式：一般是注冊獎勵和邀請獎勵，獎勵的代幣直接發放到個人賬戶，也有些項目方規定需要加入該項目的社群，通常參與方式都比較簡單。

安全風險：

如果遇到必須付費才能參加的糖果活動或者要求先投資一筆錢才能提現的，就很可能是借著糖果的幌子的騙子幣或傳銷幣。

國際金融協會CEO：任何認為加密貨幣將逃脫監管審查的人都將遭遇“嚴峻的意外”:9月27日消息，國際金融協會CEO?Tim?Adams表示：認為加密貨幣將受到監管，根斯勒將成為一代人中最具影響力的美國證交會主席。任何認為加密貨幣將逃脫監管審查的人都將遭遇“嚴峻的意外”。[2021/9/27 17:10:05]

空投

雖然“糖果”和“空投”都是給用戶免費發放代幣，其實嚴格來說兩者是有一定區別的，最大的區別就是兩者的派發方式。糖果派發是直接贈送給參與活動的用戶，空投是項目方選擇一個時間節點，根據當時某種代幣的資產分布情況，按一定比例贈送代幣給潛在用戶。

空投和糖果的不同有兩點：

1、空投不是針對所有用戶，而是一部分指定的潛在用戶。

2、空投贈出的代幣數量不是恒定的，而是按照每個用戶的擁有比例來決定。

聲音 | 瑞士央行管委會候補委員Moser：對未來一年有央行發行自己的數字貨幣不感到意外:9月27日消息，瑞士央行管委會候補委員Moser：對未來一年有央行發行自己的數字貨幣不感到意外。（金十）[2019/9/27]

現在很多項目方把自身的糖果派發活動都叫做空投，所以現在空投和糖果已經被混淆在一起了。

知帆科技安全團隊根據相關情報分析發現一種以“空投”為噱頭的新型虛擬貨幣詐騙——騙取私鑰盜取錢包資產。

真實案例解析

騙子先是冒充Sushiswap官方空投，后冒充imToken錢包官方，誘導用戶下載詐騙的APP導入自己的錢包，之后騙子在后臺獲取到用戶私鑰，把錢包里的虛擬貨幣轉走。

冒充的客服給用戶發的公告

1、騙子利用Sushiswap官方的空投信息，借用其官方知名度，自己制作空投頁面，在微信群中偽裝客服引導用戶參與。不僅如此，客服為了和用戶拉近距離，使用美女或帥哥作為頭像。

聲音 | BM建議防止意外的RAM消耗:據IMEOS報道，BM于北京時間8月28日晚十點十三分在Medium發布新文章，提出建議防止意外的 RAM 消耗。并對于一些用戶和基于 EOSIO 的智能合約無意中將其 RAM 資源用于惡意合約的第三方的情況進行分析。

最后 BM 提議只對接收的一方消耗 RAM，這樣可以安全地將Token發送到任何合約而不必它意外消耗。根據此提議的更改，現有合約必須獲得直接授權以消耗一些用戶可用的RAM。在接受用戶的存入之前，交換合約將要求用戶“開立賬戶以預留用于存儲其余額的空間”。然后，傳入的存入通知將簡單地增加預先分配的 RAM，而不是分配新的 RAM。

目前BM的團隊正在準備一個僅限出塊者的升級，它將改變默認行徑，防止意外的RAM消耗。[2018/8/29]

2、騙子把Sushiswap官方項目所有資源，官網、合約開源代碼，宣傳語等包裝成自己的素材，誘導用戶。

3、吸引用戶進入電報、QQ、微信群，通過微信一對一的給用戶發送公告，如果你對此懷疑，他們會發送給你P好的官方公告圖，用戶在真正的官網上是查不到騙子發布的公告，所以騙子會告知用戶該代幣是不對外發放的，僅對參與的用戶發放獎勵，對于此解釋，不少用戶信以為真。

騙子P的imToken官方公告

4、騙子為了加強這個項目的真實性，會P出各種各樣的圖來，同時還會通過語音或官方400電話，引導用戶進入發送的鏈接或下載imToken錢包。

其實這個下載的錢包是項目方自己仿冒研發的錢包，并不是imToken官方錢包，用戶下載之后，自己創建新錢包轉入相應數量的本金，或者導入自己原有的錢包私鑰，領取平臺所宣傳的空投福利，而此時，騙子就已經拿到了用戶的私鑰。

5、拿到用戶私鑰后，騙子基本就可以控制該賬戶里的資金，隨時可以轉走用戶錢包里的資金。

總之，騙子是蹭Sushiswap和imToken的熱度，冒充官方發布虛假官方信息，以免費領取空投代幣為理由，誘導用戶掃描二維碼下載仿冒的imToken錢包，騙取用戶的資金。

詐騙手法

以空投為噱頭騙取用戶的私鑰是犯罪分子新型的詐騙手段，一般來說他們要經過以下步驟：

1、項目方發行代幣。

2、制作項目官網或APP。有的騙子會直接仿造一個出名的項目官網，只是域名稍微有所不同，不仔細看很難看出來，騙子還會通過在搜索網站購買廣告位和競價排名，引導用戶訪問虛假官網；

3、制作相關宣傳資料，包裝該空投項目。例如白皮書、商業計劃書、媒體宣傳話術；

4、建立各大媒體宣傳渠道，準備電報群、QQ群、微信群，Twitter、Youtub賬號，在以上各大平臺進行宣傳發放該項目資料，特別會在電報群中做推廣，因為其匿名和隱私性，來躲避監管部門的追查；

5、引導用戶下載注冊假冒錢包APP，導入自己的錢包或者創建一個錢包類型的賬戶；

6、以免費空投的名義在各大媒體渠道進行宣傳；

7、關停項目，轉移資產，解散相關社群，銷毀證據，直接跑路。

值得注意的是，正常一個去中心化錢包，項目方是獲取不到用戶私鑰的，但騙子仿造的去中心化錢包，只要用戶使用后，騙子就能拿到用戶私鑰，就會有資產被盜的風險。

安全提醒

知帆科技安全團隊提醒大家：

1、遇到空投項目要多渠道了解比對。可以先從網上查詢，與朋友打聽了解，如果你看到這個官網的信息很粗糙，不支持多語言環境，很有可能是假冒的官網，可以通過域名可進行區分。

2、項目活動通告，要從官網上查看，但凡官方沒有相關信息，都有可能是假冒的項目。近期，知帆安全團隊收到騙子誘導用戶下載假冒錢包APP盜取資產的相關案件，也就是說騙子蹭imToken錢包的熱度，自己仿造一個假的imToken官網同時冒充imToken客服發布虛假官方信息，以免費領取空投代幣為理由，誘導用戶掃描二維碼下載假的imToken錢包并充值，利用假錢包實施詐騙。

3、不要打開不明鏈接領取空投，如果讓下載有關APP，一定要從官網下載。

4、不要導入自己錢包的助記詞或私鑰到陌生錢包APP。

5、當你想要投入更多資金購買代幣以獲得更多空投的時候，一定要小心謹慎，注意理性投資。

Tags：KENTOKTOKENTOKEBCHK TokenLazio Fan TokenXmix Token3X Long Dogecoin Token

火幣網下載官方app