背景

在上一期 Web3 安全入门避坑指南中，我们主要讲解了多签钓鱼的相关知识，包括多签机制、造成多签的原因及如何避免钱包被恶意多签等内容。本期我们要讲解的是一种无论在传统行业还是加密领域，都被视为有效的营销手段 ——空投。

空投能够在短时间内将项目从默默无闻推向大众视野，迅速积累用户基础，提升市场影响力。用户在参与 Web3 项目时，需要点击相关链接、与项目方交互以获取空投代币，然而从高仿网站到带后门的工具，黑客早已在用户领空投过程的上下游布满了陷阱。因此，本期我们将通过分析一些典型的空投骗局来讲解相关风险，帮助大家避坑。

什么是空投

Web3 项目方为了增加项目的知名度和实现初期用户的积累，常常会免费向特定钱包地址分发代币，这一行为被称为“空投”。对项目方而言，这是获得用户最直接的方式。根据获取空投的方式，空投通常可以分为以下几类：

领空投时的风险

假空投骗局

此类骗局又可以细分为以下几种：

1. 黑客盗取项目方的官方账号发布假空投的消息。我们经常可以在资讯平台上看到“某项目的 X 账号或者 Discord 账号被黑，请广大用户不要点击黑客发布的钓鱼链接”的安全提醒。据慢雾 2024 上半年区块链安全与反洗钱报告的数据，仅 2024 上半年，项目方账号被黑事件就有 27 件。用户基于对官方账号的信任而点击这些链接，进而被引导至伪装成空投的钓鱼网站。一旦在钓鱼网站上输入了私钥/助记词或授权了相关权限，黑客就能盗走用户的资产。

2. 黑客使用高仿的项目方账号在项目方官方真实账号的评论区刷留言，发布领取空投的消息，诱导用户点击钓鱼链接。此前慢雾安全团队分析过这类手法并提出了应对建议，见真假项目方 | 警惕评论区高仿号钓鱼；此外，在真项目方发布空投的消息后，黑客也会紧随其后，在社交平台上使用高仿账号大量发布包含钓鱼链接的动态，许多用户因未仔细辨别而安装了虚假 APP 或打开钓鱼网站进行了签名授权的操作。

(https://x.com/im23pds/status/1765577919819362702)

3. 第三种诈骗套路更可恶，妥妥的骗子，他们潜伏在 Web3 项目的群组里，挑选目标用户进行社会工程攻击，有时以空投为诱饵，“教”用户按照要求转移代币以获取空投。请广大用户提高警惕，不要轻易相信主动联系你的“官方客服”或是“教”你如何操作的网友，这些人大概率是骗子，你只是想领个空投，结果却损失惨重。

“白给”的空投代币

开篇提到，用户往往需要完成某种任务才能获取空投，我们接下来看看“白给“用户代币的情况。黑客会向用户的钱包空投没有实际价值的代币，用户看到这些代币，可能会尝试与之交互，例如转移、查看或在去中心化交易所上进行交易。然而我们逆向分析一个 Scam NFT 的智能合约发现，当尝试挂单或转移这个 Scam NFT 时会失败，然后出现错误提示“Visit website to unlock your item”，诱导用户访问钓鱼网站。

如果用户访问了 Scam NFT 引导的钓鱼网站，黑客便可能进行以下操作：