EOS:意外获得空投奖励？小心资产被掏空！-ODAILY

原标题：明明是空投，为什么币没了？

“空投”一词，对很多玩过大逃杀类游戏的人并不陌生，在游戏中会在固定的时间出现空投物资补给，但是空投的位置是随机投放，经常会吸引一大波“追梦人”去前往争抢拾取，所以在空投周围经常会发生遭遇战，即使在遭遇战中取得胜利获得了空投补给，也时常被其他埋伏的玩家坐收渔翁之利割了韭菜，每个空投在带来高额收益的同时，也往往包含着巨大的风险。

“空投往自己身上砸”，应该不少玩家都做过这个美梦，那在虚拟货币的世界，被空投砸中是“幸运天选”还是另有猫腻呢？

什么是虚拟货币空投

关注虚拟货币的朋友，应该都听说过“糖果”和“空投”，那糖果和空投分别是什么呢？两者又有什么区别呢？

zkLink提前24小时关闭测试网开启敦刻尔克测试，用意外关闭模拟紧急情况:5月10日消息，基于零知识证明的多链统一交易基础设施 zkLink 宣布将提前 24 小时关闭测试网，开启敦刻尔克测试。敦刻尔克（Dunkirk) 为一项关于用户资金安全的紧急撤退测试，原计划于新加坡时间 5 月 11 日 12:00 关闭网络，开启测试。zkLink 表示，本次提前关闭，为项目方精心策划，目的在于帮助用户加深理解：在加密行业，紧急情况总是在无法预知的情况下到来。提醒用户时刻对资金安全，风险管理保持警惕。[2023/5/10 14:54:16]

区块链项目方为了造势通过发放“免费的午餐”，以此来培养忠实用户，快速吸引更多的人来参与，增加项目本身的影响力，有点类似前些年打车软件、外卖平台的“烧钱式营销”，所以糖果和空投本质上都是为了快速获得市场的营销方式而付出的推广成本。

zkSync在测试网中被意外触发安全开关Exodus Mode，可证明其安全机制有效:据官方消息，Matter Labs 表示昨日在以太坊测试网（Ropsten）上有用户触发了扩容方案 zkSync 1.0 的“Exodus Mode”（出埃及记模式），这并不是计划内的操作，但是也证明了 zkSync 1.0 的安全机制是有效的。该模式的触发是由于 Matter Labs 在测试一个新的系统，最终导致了系统认为 zkSync 的操作节点已下线了或者是恶意的，也就导致了该模式可以被触发。Matter Labs 表示，Exodus Mode 是 zkSync 可以与以太坊主链安全性一致的保证，在触发该模式后，用户可以重构状态数据并从 zkSync 网络中提现资产。[2021/4/24 20:53:50]

糖果

糖果就是指区块链项目方给早期用户奖励的代币，等待该项目上线交易所后，赠送的代币是可以在交易所直接变现的。

美联储卡普兰：若美国10年期国债收益率上扬 不会感到意外:据金十消息，美联储卡普兰表示：“不缺乏资金购买美国国债。 如果美国10年期国债收益率上扬，我不会感到意外。”[2021/4/10 20:03:36]

奖励方式：一般是注册奖励和邀请奖励，奖励的代币直接发放到个人账户，也有些项目方规定需要加入该项目的社群，通常参与方式都比较简单。

安全风险：

如果遇到必须付费才能参加的糖果活动或者要求先投资一笔钱才能提现的，就很可能是借着糖果的幌子的子币或币。

空投

虽然“糖果”和“空投”都是给用户免费发放代币，其实严格来说两者是有一定区别的，最大的区别就是两者的派发方式。糖果派发是直接赠送给参与活动的用户，空投是项目方选择一个时间节点，根据当时某种代币的资产分布情况，按一定比例赠送代币给潜在用户。

动态 | EOS.IO 1.2 1.2.3 已发布更新 防止意外的 RAM 消耗:据 IMEOS 报道，EOS.IO 1.2 1.2.3 于今天早上在 Github 提交更新，此次更新提供了错误修复和回归测试。主要更新如下：

1. 现在不赞成允许通知合约向原始操作的授权者开具消耗额外 RAM 的功能，减少初始行为发起人在调用 notified 合约时的RAM 消耗；

2. 修复CPU灰名单功能（＃5462）；

3.以前的安全问题的回归测试。

其他更新： [nodeos]修复框架外壳，用于区分大小写的MacOS版本（＃5403）

[eosiocpp / eosio-abigen]修复了eosiocpp ABI生成错误（＃5401）

[eosiocpp / eosio-abigen]修复了在ABI生成中忽略动作名称的错误（＃5459）

[nodeos]修复了bnet线程问题（＃5417）

[nodeos]减少net_plugin中的错误日志输出（＃5423）

[nodeos]推测时不要在光节点上应用事务优化（＃5415）

[cleos]如果已经签名，请不要在推送交易期间修改交易（＃5461）

缓解措施： 默认情况下，运行版本1.2.3的节点将主观拒绝执行操作通知处理程序的合约尝试将RAM计入任何其他帐户的事务。[2018/8/29]

空投和糖果的不同有两点：

比特币价值高涨全球热烈“疯”挖矿 比特币矿机制造商意外发了一笔“横财”:由于比特币的价值不断提升，此前一度达到每枚价值 19000 美元的天价，使得全球热烈“疯”挖矿，也让芯片设计及制造产业意外发了一笔“横财”。中国的挖矿机公司比特大陆，目前在全球挖矿机的市占率上高达 80% 到 90%，另一家比特币挖矿芯片设计公司嘉楠耘智也是台积电的客户之一。这种在挖矿机市场，不在乎成本，只在乎效能的情况，使这些挖矿机芯片公司的制程需求直逼大型 IC 设计公司，也使得台积电的先进制程也因此增加了许多的营收。[2017/12/29]

1、空投不是针对所有用户，而是一部分指定的潜在用户。

2、空投赠出的代币数量不是恒定的，而是按照每个用户的拥有比例来决定。

现在很多项目方把自身的糖果派发活动都叫做空投，所以现在空投和糖果已经被混淆在一起了。

知帆科技安全团队根据相关情报分析发现一种以“空投”为噱头的新型虚拟货币——取私钥盗取钱包资产。

真实案例解析

子先是冒充Sushiswap官方空投，后冒充imToken钱包官方，诱导用户下载的APP导入自己的钱包，之后子在后台获取到用户私钥，把钱包里的虚拟货币转走。

冒充的客服给用户发的公告

1、子利用Sushiswap官方的空投信息，借用其官方知名度，自己制作空投页面，在微信群中伪装客服引导用户参与。不仅如此，客服为了和用户拉近距离，使用美女或帅哥作为头像。

2、子把Sushiswap官方项目所有资源，官网、合约开源代码，宣传语等包装成自己的素材，诱导用户。

3、吸引用户进入电报、QQ、微信群，通过微信一对一的给用户发送公告，如果你对此怀疑，他们会发送给你P好的官方公告图，用户在真正的官网上是查不到子发布的公告，所以子会告知用户该代币是不对外发放的，仅对参与的用户发放奖励，对于此解释，不少用户信以为真。

子P的imToken官方公告

4、子为了加强这个项目的真实性，会P出各种各样的图来，同时还会通过语音或官方400电话，引导用户进入发送的链接或下载imToken钱包。

其实这个下载的钱包是项目方自己仿冒研发的钱包，并不是imToken官方钱包，用户下载之后，自己创建新钱包转入相应数量的本金，或者导入自己原有的钱包私钥，领取平台所宣传的空投福利，而此时，子就已经拿到了用户的私钥。

5、拿到用户私钥后，子基本就可以控制该账户里的资金，随时可以转走用户钱包里的资金。

总之，子是蹭Sushiswap和imToken的热度，冒充官方发布虚假官方信息，以免费领取空投代币为理由，诱导用户扫描二维码下载仿冒的imToken钱包，取用户的资金。

手法

以空投为噱头取用户的私钥是犯罪分子新型的手段，一般来说他们要经过以下步骤：

1、项目方发行代币。

2、制作项目官网或APP。有的子会直接仿造一个出名的项目官网，只是域名稍微有所不同，不仔细看很难看出来，子还会通过在搜索网站购买广告位和竞价排名，引导用户访问虚假官网；

3、制作相关宣传资料，包装该空投项目。例如白皮书、商业计划书、媒体宣传话术；

4、建立各大媒体宣传渠道，准备电报群、QQ群、微信群，Twitter、Youtub账号，在以上各大平台进行宣传发放该项目资料，特别会在电报群中做推广，因为其匿名和隐私性，来躲避监管部门的追查；

5、引导用户下载注册假冒钱包APP，导入自己的钱包或者创建一个钱包类型的账户；

6、以免费空投的名义在各大媒体渠道进行宣传；

7、关停项目，转移资产，解散相关社群，销毁证据，直接跑路。

值得注意的是，正常一个去中心化钱包，项目方是获取不到用户私钥的，但子仿造的去中心化钱包，只要用户使用后，子就能拿到用户私钥，就会有资产被盗的风险。

安全提醒

知帆科技安全团队提醒大家：

1、遇到空投项目要多渠道了解比对。可以先从网上查询，与朋友打听了解，如果你看到这个官网的信息很粗糙，不支持多语言环境，很有可能是假冒的官网，可以通过域名可进行区分。

2、项目活动通告，要从官网上查看，但凡官方没有相关信息，都有可能是假冒的项目。近期，知帆安全团队收到子诱导用户下载假冒钱包APP盗取资产的相关案件，也就是说子蹭imToken钱包的热度，自己仿造一个假的imToken官网同时冒充imToken客服发布虚假官方信息，以免费领取空投代币为理由，诱导用户扫描二维码下载假的imToken钱包并充值，利用假钱包实施。

3、不要打开不明链接领取空投，如果让下载有关APP，一定要从官网下载。

4、不要导入自己钱包的助记词或私钥到陌生钱包APP。

5、当你想要投入更多资金购买代币以获得更多空投的时候，一定要小心谨慎，注意理性投资。

标签：EOSTOKETOKIMTLEOS币Croatian Football Federation TokenNUKE TokenimToken钱包app

USDC热门资讯