Jak rozpoznać fałszywy airdrop na Twitterze i Telegramie?

Kupuj kryptowaluty BLIKiem ⚡

Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.

Kup krypto z 0% prowizji

Fałszywy airdrop na Twitterze i Telegramie rozpoznasz po żądaniu podłączenia portfela krypto do nieznanej strony oraz prośbie o podanie frazy seed. Prawdziwe projekty nigdy nie każą płacić za odebranie darmowych tokenów ani nie wysyłają prywatnych wiadomości z linkami ukrytymi za skracaczami adresów.

Prawda jest zresztą absolutnie taka, że oszuści bazują na chciwości i pośpiechu. Zmieniliśmy te zasady na robocie już dawno temu, kiedy zorientowaliśmy się, jak łatwo podrobić profil na platformie X. Kiedyś wystarczyło spojrzeć na niebieski znaczek weryfikacji. Dzisiaj to nic nie znaczy. Każdy scammer płaci kilkanaście dolarów za abonament i udaje oficjalny profil fundacji. Wrzucają sklonowane grafiki. Kopiują styl komunikacji. Oznaczają boty, które sztucznie pompują zasięgi pod postem. To jest bez mała najgorsza opcja z wszystkich, bo początkujący użytkownicy wchodzą w to w ciemno.

Jak sprawdzić autentyczność konta projektu na X (Twitter)?

Oszuści kupują weryfikację. To pierwszy brutalny fakt. Niebieski ptaszek przy nazwie konta nie daje żadnej gwarancji bezpieczeństwa. Sprawdzasz profil i widzisz tysiące lajków pod postem o zrzucie tokenów. Wszystko wygląda legitnie. Ale wejdź w sekcję komentarzy. Zobaczysz tam same puste konta wrzucające GIF-y albo zablokowaną możliwość odpowiadania. Prawdziwe projekty kryptowalutowe chcą dyskusji ze społecznością. Scammerzy zamykają komentarze, żeby nikt nie napisał ostrzeżenia o kradzieży.

Kolejna sprawa to nazwa użytkownika. Handlery na Twitterze są unikalne. Oszuści stosują podmianę znaków. Zamiast małej litery “l” wstawiają wielkie “I”. Zamiast “Arbitrum” robią “Arbirtum”. Zwykła literówka. Czasami dodają na końcu słowo “Airdrop” lub “Official”. Autentyczne zespoły deweloperskie używają jednej, spójnej nazwy na wszystkich kanałach komunikacji. Dobrym pomysłem jest wejście na główną stronę internetową danego blockchaina i kliknięcie odnośnika do ich social mediów bezpośrednio z paska nawigacji. Tylko to daje pewność.

• Konta oszustów często mają historię zmiany nazwy. Użytkownik, który rok temu pisał o grach komputerowych, nagle staje się oficjalnym kanałem sieci warstwy drugiej.
• Link w bio prowadzi do domeny zarejestrowanej wczoraj. Sprawdzenie daty rejestracji adresu URL w bazie WHOIS zajmuje dziesięć sekund.
• Zwróć uwagę na interakcje z innymi znanymi osobami z branży. Autentyczne profile są obserwowane przez założycieli innych protokołów. Fejkowe konta śledzą tylko farmy botów.
• Nigdy nie ufaj tagom w postach znikąd. Jeśli zostałeś oznaczony na grafice z gratulacjami, to masz do czynienia z próbą wyłudzenia kapitału.

Dlaczego boty i grupy na Telegramie to wylęgarnia scamu?

Telegram to środowisko o bardzo luźnych zasadach moderacji. Tworzenie fałszywych grup zajmuje tam dosłownie kilka minut. Oszuści kopiują awatar, kradną przypięte wiadomości z oryginalnego kanału i dodają tysiące martwych dusz, żeby symulować ruch. Wchodzisz na taki kanał i widzisz komunikat o limitowanej puli tokenów do odebrania. Zegar tyka. Zostało rzekomo tylko pięć minut. To czysta socjotechnika obliczona na wyłączenie logicznego myślenia u ofiary.

Wiadomości prywatne od administracji to kolejny twardy dowód na oszustwo. Admini dużych grup nigdy nie piszą do użytkowników pierwsi. Po prostu nie mają na to czasu przy kilkudziesięciu tysiącach osób na serwerze. Jeśli dostajesz wiadomość z rzekomego supportu z linkiem do “weryfikacji portfela krypto”, natychmiast blokuj to konto. Zwykle proszą o połączenie z dAppem, który pod spodem wykonuje złośliwy smart contract.

Na co uważać klikając w linki z airdropami?

Samo kliknięcie w złośliwy link rzadko kończy się kradzieżą. Problem pojawia się, gdy strona żąda interakcji z twoim oprogramowaniem. Oszuści stawiają klony znanych interfejsów Web3. Wyglądają kropka w kropkę jak Uniswap czy portal do claimowania tokenów sieci Optimism. Wciskasz przycisk połączenia. Wyskakuje okienko do akceptacji. I tutaj leży sedno całego problemu.

P O L E C A M Y:

Zarejestruj się na Binance - największej giełdzie kryptowalut na świecie i odbierz zniżkę na prowizje!

Odbierz zniżkę

Zamiast zwykłej autoryzacji sesji, podpisujesz transakcję setApprovalForAll. Ten jeden, mały kontrakt daje atakującemu pełne prawo do dysponowania wszystkimi tokenami w danym standardzie na twoim adresie. Zatwierdzasz jeden plik, a oni mają dostęp do wszystkiego na koncie. Znikają stablecoiny. Znikają NFT. Kasa znika. Zostajesz z pustym bilansem i świadomością, że sam kliknąłeś potwierdzenie.

Jak technicznie oszuści kradną kryptowaluty przez fałszywe strony?

Mechanika kradzieży opiera się na braku czytania logów transakcyjnych przez zwykłych ludzi. Większość osób używa MetaMask lub Trust Wallet. Te aplikacje wyświetlają ciąg znaków szesnastkowych przed potwierdzeniem akcji. Mało kto to rozumie. Oszuści podsuwają fałszywe funkcje wywołania. Czasami wykorzystują funkcję eth_sign, która jest przestarzała i potwornie niebezpieczna. Pozwala ona na podpisanie dowolnego, arbitralnego ciągu danych.

Inną metodą są ataki typu airdrop dusting. Nagle zauważasz na swoim bilansie milion sztuk nieznanego tokena. Wyceniane są rzekomo na tysiące dolarów. Próbujesz je sprzedać na zdecentralizowanej giełdzie. Giełda wyrzuca błąd i prosi o wejście na stronę twórców w celu odblokowania handlu. Wchodzisz tam, podłączasz się i tracisz prawdziwe środki, płacąc prowizję za złośliwą transakcję wysysającą twój główny kapitał z Ethereum czy Solany.

We wtorek o 3 nad ranem ratowaliśmy serwery po tym, jak młody od nas z zespołu kliknął w rzekomy airdrop na Telegramie. Serio. Gość ma pięć lat stażu w IT, a złapał się na fejkowego bota z dopiskiem AirdropBot. Zeszło nam do rana, żeby odciąć dostępy do firmowego repozytorium, bo hakerzy od razu próbowali zrzucić payload przez jego maszynę po wyczyszczeniu mu prywatnego portfela sprzętowego podpiętego pod przeglądarkę. Skrypt wyciągnął z niego zatwierdzenie na nielimitowane wydatki w sieci Polygon. (Chociaż prawdę mówiąc brakuje nam twardych danych za wczoraj, więc wydaje się to tylko jedną z możliwych hipotez wejścia, bo chłopak logował się też z innej sieci). Mimo to stracił własne oszczędności przez jedno gapiostwo i zmęczenie materiału.

Czy darmowe tokeny znikąd to zawsze oszustwo?

W zdecydowanej większości przypadków tak. Prawdziwe dystrybucje kapitału odbywają się dla użytkowników, którzy faktycznie testowali sieć, palili gaz na transakcjach lub dostarczali płynność do protokołów DeFi. Nikt nie rozdaje pieniędzy za podanie adresu e-mail na przypadkowym kanale social media. Zmieniliśmy te zasady na robocie i dzisiaj odrzucamy z marszu każdy projekt, który wymaga zaproszenia pięciu znajomych do grupy, żeby odebrać nagrodę. To mechanika piramidy, a nie poważnego startupu technologicznego.

Jeśli projekt prosi o opłatę manipulacyjną z góry, uciekaj. Żądają wysłania 0.05 ETH na pokrycie kosztów weryfikacji KYC? To klasyczny scam nigeryjski ubrany w nowoczesne szaty technologii blockchain. Płacisz za rzekomy dostęp, a po drugiej stronie nie ma niczego. Kontrakt po prostu przyjmuje wpłaty i przekierowuje je na miksery kryptowalutowe typu Tornado Cash, zacierając ślady w rejestrze on-chain.

Jakie sygnały on-chain demaskują fałszywy zrzut tokenów?

Analiza łańcucha bloków to jedyna metoda dająca twarde dowody. Portfele twórców fałszywych inicjatyw mają specyficzną charakterystykę. Zazwyczaj są to adresy wygenerowane kilka godzin przed startem kampanii reklamowej na Twitterze. Pierwsza transakcja zasilająca pochodzi z giełdy bez weryfikacji tożsamości albo z protokołu mieszającego monety. Brak jakiejkolwiek historii budowania oprogramowania. Brak interakcji ze sprawdzonymi kontraktami.

Zastanawiacie się zresztą, dlaczego to na produkcji tak wyje na testach po drodze? Sam się nad tym borykałem dzisiaj u siebie we wtorek. Wystarczy sprawdzić kod źródłowy tokena w eksploratorze. Scammerzy rzadko weryfikują swój kod na BscScan czy Arbiscan. Jeśli zakładka z kodem kontraktu pokazuje tylko surowy bytecode, nie dotykaj tego. Jeśli kod jest widoczny, wrzuć go w proste narzędzia audytorskie. Często znajdziesz tam złośliwe funkcje typu mint przypisane tylko do właściciela, co oznacza klasyczny rug pull. Właściciel drukuje nieskończoną ilość monet, sprzedaje je za prawdziwą płynność i znika.

• Konto twórcy zasila sieć tysięcy mniejszych portfeli ułamkami centów, żeby zainicjować sztuczny ruch.
• Pula płynności na giełdzie DEX jest zablokowana na zaledwie kilka dni, a nie na rok.
• Kontrakt posiada funkcje blokujące sprzedaż dla zwykłych użytkowników (honeypot).
• Brak audytu od znanych firm zajmujących się bezpieczeństwem Web3.

Co zrobić, gdy podłączyłeś portfel do fałszywego airdropa?

Działaj natychmiast. Czas gra kluczową rolę. Odłącz portfel od złośliwej witryny z poziomu ustawień swojej aplikacji. To jednak tylko połowa sukcesu. Samo zerwanie połączenia nie cofa podpisanych uprawnień na wydawanie środków. Użyj sprawdzonych serwisów do odwoływania zgód, takich jak Revoke. Wyszukaj wszystkie aktywne pozwolenia dla podejrzanych adresów i cofnij je, płacąc drobną opłatę sieciową. To ratuje resztę kapitału.

Dobrym pomysłem jest całkowite porzucenie skompromitowanego adresu. Jeśli podałeś oszustom frazę seed, ten portfel jest spalony na zawsze. Zmiana hasła nic nie da. Wygeneruj nowy zestaw słów na czystym urządzeniu. Przelej tam wszystkie wartościowe aktywa. Zostaw stary adres pusty. Nie ufaj mu już nigdy, bo boty skanujące mempoole czekają tylko na to, aż w przyszłości prześlesz tam choćby ułamek etheru na opłaty gazowe, żeby natychmiast go przejąć.

Przestań wierzyć w darmowy hajs z internetu. Sprawdź swoje dostępy w portfelu już teraz. Ile masz otwartych kontraktów z nielimitowanym limitem wydatków? Wejdź i to wyczyść, zanim zrobisz cokolwiek innego. Rynek kryptowalut nie wybacza błędów, a ignorowanie podstaw higieny cyfrowej kończy się utratą oszczędności życia w ułamku sekundy.

Często zadawane pytania (FAQ)

• 1. Czy oficjalne projekty piszą do użytkowników na Telegramie w sprawie airdropów?
  Nie. Prawdziwi administratorzy i deweloperzy nigdy nie inicjują kontaktu prywatnego w celu rozdawania tokenów. Każda taka wiadomość to próba oszustwa.
• 2. Dlaczego oszuści każą podać frazę seed?
  Fraza seed to główny klucz kryptograficzny do twojego majątku. Jej podanie daje atakującemu pełną kontrolę nad portfelem i pozwala na natychmiastową kradzież wszystkich środków na każdym blockchainie.
• 3. Co to jest dusting attack?
  To metoda polegająca na wysyłaniu na twój adres niechcianych tokenów o fikcyjnej, wysokiej wartości. Próba ich sprzedaży wymaga wejścia na złośliwą stronę, która wyłudza autoryzację do wyczyszczenia twojego konta.
• 4. Czy niebieski znaczek na X (Twitterze) gwarantuje bezpieczeństwo?
  Zupełnie nie. Subskrypcję weryfikacyjną może kupić każdy. Oszuści masowo wykupują te pakiety, aby uwiarygodnić swoje fałszywe profile i oszukać algorytmy promujące treści.
• 5. Jak cofnąć złośliwe uprawnienia w portfelu?
  Użyj narzędzi analizujących wydatki kontraktów w sieci, podłącz portfel i manualnie odwołaj podejrzane uprawnienia za pomocą funkcji Revoke. Wymaga to uiszczenia małej opłaty za gaz.
• 6. Czy bezpiecznie jest kliknąć w link ukryty za skracaczem bit.ly na grupie krypto?
  Nigdy nie klikaj w skrócone linki w kontekście kryptowalut. Poważne projekty zawsze podają pełne, czytelne adresy URL do swoich oficjalnych subdomen.

Bibliografia

1. CERT Polska – https://cert.pl
2. Komisja Nadzoru Finansowego – https://www.knf.gov.pl
3. Etherscan – https://etherscan.io
4. Revoke – https://revoke.cash
5. BscScan – https://bscscan.com

Kupuj kryptowaluty BLIKiem ⚡

Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.

Kup krypto z 0% prowizji