KEN:意外获得空投奖励？小心资产被掏空！

原标题：明明是空投，为什么币没了？

“空投”一词，对很多玩过大逃杀类游戏的人并不陌生，在游戏中会在固定的时间出现空投物资补给，但是空投的位置是随机投放，经常会吸引一大波“追梦人”去前往争抢拾取，所以在空投周围经常会发生遭遇战，即使在遭遇战中取得胜利获得了空投补给，也时常被其他埋伏的玩家坐收渔翁之利割了韭菜，每个空投在带来高额收益的同时，也往往包含着巨大的风险。

“空投往自己身上砸”，应该不少玩家都做过这个美梦，那在虚拟货币的世界，被空投砸中是“幸运天选”还是另有猫腻呢？

什么是虚拟货币空投

关注虚拟货币的朋友，应该都听说过“糖果”和“空投”，那糖果和空投分别是什么呢？两者又有什么区别呢？

区块链项目方为了造势通过发放“免费的午餐”，以此来培养忠实用户，快速吸引更多的人来参与，增加项目本身的影响力，有点类似前些年打车软件、外卖平台的“烧钱式营销”，所以糖果和空投本质上都是为了快速获得市场的营销方式而付出的推广成本。

安全团队：跨链DEX聚合器Transit Swap因任意外部调用问题被黑，被盗资金规模超2300万美元:10月2日消息，据慢雾安全团队情报，2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击，导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元，黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析：

1. 当用户在Transit Swap进行swap时，会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。

2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入，本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。

3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作，但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入，路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。

4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址，未对 calldata 数据进行具体检查。

5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据，此时兑换合约被指定为权限管理合约地址，兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。

此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查，导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。

截止到目前，黑客已将 2,500 BNB 转移到 Tornado Cash，剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现，黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]

糖果

Web3教程协议RabbitHole遭到意外中断:金色财经消息，Web3教程协议RabbitHole发推称，遭到意外中断，目前正在寻求解决方案。[2022/3/26 14:18:55]

糖果就是指区块链项目方给早期用户奖励的代币，等待该项目上线交易所后，赠送的代币是可以在交易所直接变现的。

奖励方式：一般是注册奖励和邀请奖励，奖励的代币直接发放到个人账户，也有些项目方规定需要加入该项目的社群，通常参与方式都比较简单。

安全风险：

如果遇到必须付费才能参加的糖果活动或者要求先投资一笔钱才能提现的，就很可能是借着糖果的幌子的子币或币。

空投

虽然“糖果”和“空投”都是给用户免费发放代币，其实严格来说两者是有一定区别的，最大的区别就是两者的派发方式。糖果派发是直接赠送给参与活动的用户，空投是项目方选择一个时间节点，根据当时某种代币的资产分布情况，按一定比例赠送代币给潜在用户。

大咖零距离 | 意外暴跌之后 何时抄底比特币:4月1日20:00，金色盘面邀请微博KOL懂币哥做客金色财经《大咖零距离》直播间，将分享《意外暴跌之后 何时抄底比特币》，敬请关注，欲进群观看直播扫描海报二维码报名即可！[2020/4/1]

空投和糖果的不同有两点：

1、空投不是针对所有用户，而是一部分指定的潜在用户。

2、空投赠出的代币数量不是恒定的，而是按照每个用户的拥有比例来决定。

现在很多项目方把自身的糖果派发活动都叫做空投，所以现在空投和糖果已经被混淆在一起了。

知帆科技安全团队根据相关情报分析发现一种以“空投”为噱头的新型虚拟货币——取私钥盗取钱包资产。

真实案例解析

子先是冒充Sushiswap官方空投，后冒充imToken钱包官方，诱导用户下载的APP导入自己的钱包，之后子在后台获取到用户私钥，把钱包里的虚拟货币转走。

分析师：比特币最近的崩盘并不令人意外，人们对它是否还有未来的担忧过分夸大:加密货币分析师Mati Greenspan在写给投资者的信中表示，比特币最近的崩盘以及传统市场的崩盘并不令人意外。他认为，对于领先的加密货币在动荡的回调后是否还有未来的担忧被夸大了。他称，“目前，加密市场似乎存在一个存在主义的问题，人们说，如果比特币在这种环境下无法崛起，那么它可能根本就没有太多存在的理由。毕竟，这些年来，在金融危机时期使用比特币作为避风港的说法一直相当强烈，因此现在应该是BTC大放异彩的时候了。不过，比特币的发明是为了给我们提供一种替代货币的方法。这种波动很大程度上是因为它很新，收益率不稳定，这导致了大量的投机。因此，对我来说，衡量成功与否的一个标准是，比特币保持缓慢但稳定的趋势，而不是由于全球不确定性而价格上升。”（DailyHODL）[2020/3/31]

冒充的客服给用户发的公告

声音 | Joseph Young：价格大跌或大涨不意味着什么 不应感到意外:加密货币分析师Joseph Young发推称，在过去的几个月里，加密市场的趋势没有任何改变。自去年11月以来，加密货币一直表现出较低的价格波动幅度。因此出现大幅下跌或上涨也不应感到意外，这并不意味着什么。[2019/1/10]

1、子利用Sushiswap官方的空投信息，借用其官方知名度，自己制作空投页面，在微信群中伪装客服引导用户参与。不仅如此，客服为了和用户拉近距离，使用美女或帅哥作为头像。

2、子把Sushiswap官方项目所有资源，官网、合约开源代码，宣传语等包装成自己的素材，诱导用户。

3、吸引用户进入电报、QQ、微信群，通过微信一对一的给用户发送公告，如果你对此怀疑，他们会发送给你P好的官方公告图，用户在真正的官网上是查不到子发布的公告，所以子会告知用户该代币是不对外发放的，仅对参与的用户发放奖励，对于此解释，不少用户信以为真。

子P的imToken官方公告

4、子为了加强这个项目的真实性，会P出各种各样的图来，同时还会通过语音或官方400电话，引导用户进入发送的链接或下载imToken钱包。

其实这个下载的钱包是项目方自己仿冒研发的钱包，并不是imToken官方钱包，用户下载之后，自己创建新钱包转入相应数量的本金，或者导入自己原有的钱包私钥，领取平台所宣传的空投福利，而此时，子就已经拿到了用户的私钥。

5、拿到用户私钥后，子基本就可以控制该账户里的资金，随时可以转走用户钱包里的资金。

总之，子是蹭Sushiswap和imToken的热度，冒充官方发布虚假官方信息，以免费领取空投代币为理由，诱导用户扫描二维码下载仿冒的imToken钱包，取用户的资金。

手法

以空投为噱头取用户的私钥是犯罪分子新型的手段，一般来说他们要经过以下步骤：

1、项目方发行代币。

2、制作项目官网或APP。有的子会直接仿造一个出名的项目官网，只是域名稍微有所不同，不仔细看很难看出来，子还会通过在搜索网站购买广告位和竞价排名，引导用户访问虚假官网；

3、制作相关宣传资料，包装该空投项目。例如白皮书、商业计划书、媒体宣传话术；

4、建立各大媒体宣传渠道，准备电报群、QQ群、微信群，Twitter、Youtub账号，在以上各大平台进行宣传发放该项目资料，特别会在电报群中做推广，因为其匿名和隐私性，来躲避监管部门的追查；

5、引导用户下载注册假冒钱包APP，导入自己的钱包或者创建一个钱包类型的账户；

6、以免费空投的名义在各大媒体渠道进行宣传；

7、关停项目，转移资产，解散相关社群，销毁证据，直接跑路。

值得注意的是，正常一个去中心化钱包，项目方是获取不到用户私钥的，但子仿造的去中心化钱包，只要用户使用后，子就能拿到用户私钥，就会有资产被盗的风险。

安全提醒

知帆科技安全团队提醒大家：

1、遇到空投项目要多渠道了解比对。可以先从网上查询，与朋友打听了解，如果你看到这个官网的信息很粗糙，不支持多语言环境，很有可能是假冒的官网，可以通过域名可进行区分。

2、项目活动通告，要从官网上查看，但凡官方没有相关信息，都有可能是假冒的项目。近期，知帆安全团队收到子诱导用户下载假冒钱包APP盗取资产的相关案件，也就是说子蹭imToken钱包的热度，自己仿造一个假的imToken官网同时冒充imToken客服发布虚假官方信息，以免费领取空投代币为理由，诱导用户扫描二维码下载假的imToken钱包并充值，利用假钱包实施。

3、不要打开不明链接领取空投，如果让下载有关APP，一定要从官网下载。

4、不要导入自己钱包的助记词或私钥到陌生钱包APP。

5、当你想要投入更多资金购买代币以获得更多空投的时候，一定要小心谨慎，注意理性投资。

标签：KENTOKTOKENTOKEWHEN TokenCBEX TokenMX Tokencgtoken

Fil热门资讯