Honeypot Crypto Scam. Jak tego uniknąć?

W szybko rozwijającym się świecie kryptowalut, pokusa szybkich zysków może czasami oślepić nawet najbardziej ostrożnych inwestorów na ryzyko, które się czai. Wśród różnych zagrożeń, oszustwa kryptowalutowe honeypot wyłoniły się jako szczególnie zwodnicza taktyka stosowana przez oszustów w celu kradzieży aktywów i poufnych informacji od niczego niepodejrzewających użytkowników. Oszustwa te często obejmują fałszywe portfele, tokeny lub inteligentne kontrakty, które wydają się legalne, ale w rzeczywistości są pułapkami zaprojektowanymi w celu wykorzystania zaufania i chciwości ich ofiar. Zrozumienie, jak działają te oszustwa i nauczenie się, jak ich unikać, jest kluczowe dla każdego, kto porusza się po krajobrazie kryptowalut.

Czym jest oszustwo typu honeypot?

Oszustwo typu honeypot crypto to oszukańcza taktyka w świecie kryptowalut, w której oszuści wciągają niczego niepodejrzewających ludzi w pułapkę mającą na celu kradzież ich aktywów lub poufnych informacji. Oszustwo zazwyczaj polega na utworzeniu fałszywego portfela kryptowalutowego, tokena lub inteligentnego kontraktu, który wydaje się autentyczny, ale w rzeczywistości jest starannie zaprojektowaną pułapką.

Oszuści często korzystają z platform mediów społecznościowych, takich jak X (dawniej Twitter), Discord lub Reddit, aby dotrzeć do potencjalnych ofiar. Podszywają się pod niedoświadczonych użytkowników potrzebujących pomocy w przelaniu lub wypłacie tego, co, jak twierdzą, jest znaczną wypłatą kryptowalut. W zamian za pomoc oferują hojne nagrody, co sprawia, że oferta jest kusząca.

Aby zbudować zaufanie, oszust dostarcza ofierze prywatne klucze do portfela kryptowalutowego, który wydaje się zawierać znaczną ilość tokenów. Te tokeny są zazwyczaj w mniej znanych kryptowalutach, które, mimo że wydają się cenne, nie mogą być użyte do pokrycia opłat transakcyjnych. Następnie ofiara jest proszona o zdeponowanie niewielkiej kwoty kryptowaluty w celu pokrycia tych opłat, często pod pretekstem pomocy „zdesperowanemu traderowi”.

Gdy ofiara przeleje swoje kryptowaluty, aby pokryć opłaty, środki są automatycznie przekierowywane do niedostępnego portfela kontrolowanego przez oszusta. Odbywa się to za pomocą zautomatyzowanych skryptów znanych jako „sweeper bots”. Chociaż kwoty skradzione w każdym przypadku mogą być niewielkie, oszuści powtarzają ten proces wielokrotnie, co prowadzi do znacznych skumulowanych zysków.

Urok oszustw honeypot polega na tym, że wydają się one legalne i kuszące, żerując na chciwości lub dobrej woli potencjalnych ofiar. Fałszywa strona internetowa, portfel lub inteligentny kontrakt — „honeypot” — ma na celu oszukanie użytkowników, aby myśleli, że wchodzą w interakcję z godną zaufania platformą, ale w rzeczywistości jest to starannie zastawiona pułapka.

Jak działają honeypoty

Oszustwa honeypot w świecie kryptowalut to skrupulatnie zaplanowane operacje, które oszukują użytkowników, aby rozstali się ze swoimi aktywami. Te oszustwa zazwyczaj rozwijają się w serii wykalkulowanych kroków, z których każdy ma na celu wykorzystanie zaufania i chciwości ofiary.

Konfiguracja i tworzenie

Proces zaczyna się od tego, że oszust decyduje o rodzaju honeypotu, który ma wdrożyć. Może to być cokolwiek, od inteligentnego kontraktu z widoczną podatnością na ataki po fałszywą stronę internetową imitującą popularną giełdę kryptowalut. Kluczem jest tutaj sprawienie, aby honeypot wyglądał na legalny, czy to poprzez zaprojektowanie strony internetowej, która idealnie replikuje znaną platformę, czy poprzez wdrożenie inteligentnego kontraktu, który wydaje się mieć wadę umożliwiającą użytkownikom wydobywanie tokenów.

Na przykład w typowym honeypot smart contract kontrakt wydaje się zawierać błąd, który umożliwia każdemu wypłatę z niego tokenów. Jednak aby wykorzystać tę „wadę”, użytkownik musi najpierw zdeponować określoną kwotę kryptowaluty w kontrakcie.

Promocja i wabienie ofiar

Po skonfigurowaniu honeypotu następnym krokiem jest przyciągnięcie ofiar. Oszuści często korzystają z platform mediów społecznościowych, takich jak X, Discord lub Reddit, aby dotrzeć do potencjalnych celów. Mogą również stosować optymalizację wyszukiwarek, płatne reklamy i kampanie w mediach społecznościowych, aby kierować ruch na swoje oszukańcze platformy. W niektórych przypadkach oszuści mogą podszywać się pod początkujących użytkowników potrzebujących pomocy w wypłacie lub przelaniu znacznej kwoty kryptowaluty, obiecując ofierze część środków w zamian za pomoc.

Aby zdobyć zaufanie ofiary, oszust może nawet udostępnić dostęp do czegoś, co wygląda jak portfel kryptowalutowy wypełniony cennymi tokenami. Jednak te tokeny są zazwyczaj w mniej znanych kryptowalutach, których nie można użyć do pokrycia opłat transakcyjnych, zmuszając ofiarę do zdeponowania dodatkowych środków w bardziej powszechnie akceptowanej kryptowalucie.

Wyzysk i kradzież

Po tym, jak ofiara przeleje wymaganą kryptowalutę, próbuje wykorzystać domniemaną lukę w inteligentnym kontrakcie lub zakończyć transakcję na fałszywej platformie. Jednak to właśnie tutaj wkracza druga warstwa oszustwa. Ofiara odkrywa, że nie jest w stanie wypłacić ani swojego początkowego depozytu, ani żadnych tokenów kontraktu z powodu ukrytej wady.

Oszustwo kończy się, gdy atakujący, używając zautomatyzowanych skryptów lub „botów czyszczących”, szybko przesyła depozyt ofiary i wszelkie inne środki w kontrakcie lub portfelu na niedostępny adres, skutecznie kradnąc aktywa. Oszukańcza platforma lub kontrakt są następnie szybko usuwane, aby uniknąć wykrycia.

Przykład ze świata rzeczywistego

Znany incydent miał miejsce 26 lutego 2024 r., kiedy Dechat omyłkowo opublikował link do inteligentnego kontraktu honeypot na swoich platformach mediów społecznościowych. Chociaż błąd został szybko naprawiony, niektórzy użytkownicy, którzy weszli w interakcję z linkiem, ponieśli straty finansowe, zanim problem został rozwiązany.

Rodzaje honeypotów

Fałszywe strony internetowe

Oszuści często projektują wyrafinowane fałszywe strony internetowe, które imitują prawdziwe giełdy kryptowalut, portfele lub platformy inwestycyjne. Te strony są tworzone tak, aby wyglądały niemal identycznie jak legalne usługi, wykorzystując podobne nazwy, logo i projekty stron internetowych, aby oszukać użytkowników. Ofiary są zachęcane do tworzenia kont, łączenia danych bankowych i wpłacania środków, które oszuści mogą następnie ukraść. Wraz z rozwojem zdecentralizowanych platform finansowych (DeFi) oszuści coraz częściej atakują użytkowników, tworząc fałszywe protokoły DeFi, które obiecują wysokie zyski, a następnie znikają wraz ze środkami.

E-maile phishingowe

Oszuści wysyłają wiadomości e-mail phishingowe, które wydają się pochodzić od znanych firm lub usług kryptowalutowych, takich jak giełdy lub dostawcy portfeli. Te wiadomości e-mail często zawierają oficjalnie wyglądające loga i treści, aby sprawiać wrażenie legalnych. Mogą twierdzić, że istnieje problem z kontem odbiorcy i namawiać go do podania danych logowania w celu rozwiązania problemu. W innych przypadkach wiadomości e-mail kierują użytkowników do wpłacania środków na fałszywy adres portfela kontrolowany przez oszusta. Gdy ofiara wprowadzi swoje dane uwierzytelniające lub przeleje środki, oszust uzyskuje kontrolę nad jej aktywami. Ostatnio wzrosła liczba prób phishingu wymierzonych w użytkowników powstających platform blockchain, gdzie oszuści wykorzystują brak świadomości wśród nowych użytkowników.

Oszustwa w mediach społecznościowych

Oszuści wykorzystują platformy mediów społecznościowych do promowania fałszywych okazji inwestycyjnych, często wykorzystując fałszywe rekomendacje celebrytów, płatne reklamy lub konta oszustów. W niektórych przypadkach mogą nawet włamać się na konto osoby publicznej, aby nadać wiarygodności oszustwu. Na przykład oszuści mogą stworzyć fałszywy profil celebryty promujący kryptowalutową ofertę ICO (Initial Coin Offering). Użytkownicy, skuszeni obietnicą wysokich zysków, są oszukiwani i wysyłają depozyty kryptowalutowe, które następnie oszuści kradną. Ostatnio nastąpił wzrost liczby oszustw związanych z fałszywymi rozdawnictwami NFT (Non-Fungible Token) na platformach takich jak X (dawniej Twitter) i Instagram.

Manipulowane monety

Monety Honeypot to kolejna taktyka, w której oszuści tworzą tokeny z pozornie lukratywnymi inteligentnymi kontraktami. Inwestorzy są wabieni obietnicą astronomicznych zwrotów, tylko po to, by odkryć, że nie mogą wypłacić swoich środków z powodu ukrytych zasad kontraktu. Gdy oszuści zbiorą wystarczającą liczbę inwestycji, wykonują „wyciągnięcie dywanika”, opróżniając kontrakt i pozostawiając inwestorów z bezwartościowymi tokenami. Wraz z rozwojem projektów DeFi rośnie również złożoność tych oszustw, a atakujący często wykorzystują luki w inteligentnych kontraktach, aby złapać nieostrożnych inwestorów.

Ataki złośliwego oprogramowania

Ataki malware to powszechna metoda stosowana przez oszustów w celu infiltracji urządzenia ofiary. Zazwyczaj malware jest pobierane za pośrednictwem linków phishingowych lub załączników e-mail, a następnie działa w tle bez wiedzy użytkownika. To złośliwe oprogramowanie może kraść prywatne klucze portfela, hasła i inne poufne dane, umożliwiając atakującemu wykradzenie kryptowaluty. Podczas gdy oprogramowanie antywirusowe czasami wykrywa i usuwa malware, wiele ataków jest bardzo wyrafinowanych, co utrudnia ich identyfikację, dopóki nie jest za późno. Ostatnio nastąpił wzrost liczby malware atakujących portfele mobilne i zdecentralizowane aplikacje (dApps), ponieważ coraz więcej użytkowników zarządza swoimi aktywami kryptowalutowymi za pośrednictwem smartfonów.

Fałszywe zrzuty

W przypadku fałszywych schematów airdrop oszuści wabią użytkowników obietnicą darmowej kryptowaluty. Polecają odbiorcy podanie adresu portfela lub, co bardziej niebezpieczne, klucza prywatnego w celu otrzymania airdropu. Jednak daje to oszustowi dostęp do portfela użytkownika, co pozwala mu ukraść dowolną kryptowalutę w nim przechowywaną. Ważne jest, aby pamiętać, że legalne airdropy nigdy nie wymagają poufnych danych portfela. Wraz ze wzrostem popularności airdropów, szczególnie w przestrzeniach NFT i DeFi, użytkownicy powinni być bardziej ostrożni i zweryfikować legalność oferty przed wzięciem w niej udziału.

Jak unikać pułapek typu honeypot

Unikanie oszustw honeypot wymaga czujności i ostrożnych praktyk. Oto kilka kluczowych strategii, które pomogą Ci zachować bezpieczeństwo:

Zbadaj przed inwestycją

Przed zainwestowaniem jakichkolwiek środków lub podaniem danych osobowych przeprowadź dokładne badania platformy lub możliwości. Poszukaj opinii z renomowanych źródeł, sprawdź, czy nie ma skarg i potwierdź, że platforma jest prawnie zarejestrowana i zgodna z odpowiednimi przepisami. W szybko rozwijającym się świecie zdecentralizowanych finansów (DeFi) ważne jest również zapoznanie się z dokumentem technicznym projektu i zbadanie zespołu, który za nim stoi, aby upewnić się co do jego legalności.

Sprawdź ważność certyfikatu

Zawsze sprawdzaj certyfikat SSL odwiedzanych witryn, szczególnie gdy dotyczą one transakcji finansowych. Oszukańcze witryny często używają nieważnych lub podpisanych przez siebie certyfikatów, co może być sygnałem ostrzegawczym. Narzędzia takie jak sprawdzacze SSL mogą pomóc Ci ustalić, czy certyfikat witryny jest autentyczny. Ponadto upewnij się, że adres URL zaczyna się od „https”, a nie „http”, ponieważ wskazuje to na bezpieczne połączenie.

Monitoruj płynność

Uważaj na tokeny lub monety, którym brakuje wystarczającej płynności lub które trudno wypłacić. Aktywa niepłynne mogą być oznaką pułapki, w której oszust blokuje fundusze, uniemożliwiając inwestorom sprzedaż lub wycofanie inwestycji. Sprawdzenie wolumenu obrotu tokenem i jego obecności na uznanych giełdach może dać wgląd w jego płynność.

Nie ufaj rekomendacjom celebrytów

Rekomendacje celebrytów, zwłaszcza w przestrzeni kryptowalut, są często tworzone w celu promowania oszustw lub projektów. Zawsze weryfikuj autentyczność rekomendacji przed podjęciem jakichkolwiek decyzji inwestycyjnych. Ważne jest również, aby pamiętać, że nawet legalne konta celebrytów mogą zostać tymczasowo zhakowane, a oszuści wykorzystują je do oszukiwania obserwatorów i nakłaniania ich do inwestowania w oszukańcze schematy. Podchodź sceptycznie do wszelkich głośnych promocji i sprawdzaj je u wiarygodnych źródeł.

Wyłącz automatyczne uprawnienia

Łącząc aplikacje lub usługi z portfelem kryptowalutowym, bezpieczniej jest ręcznie włączyć uprawnienia, niż zezwalać na automatyczny dostęp do wszystkich funkcji. Oszuści często wykorzystują automatyczne uprawnienia, aby uzyskać nieautoryzowaną kontrolę nad Twoimi aktywami. Regularnie przeglądaj i cofaj niepotrzebne uprawnienia, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Użyj chłodni

Aby chronić swoje zasoby kryptowalutowe, przechowuj większość swoich aktywów w cold storage — portfelach offline, które nie są połączone z Internetem. Znacznie zmniejsza to ryzyko naruszenia Twoich środków w przypadku oszustwa lub cyberataku. Przechowuj tylko niewielką ilość kryptowaluty w portfelach online na potrzeby codziennych transakcji.

Włącz uwierzytelnianie dwuskładnikowe (2FA)

Dodanie uwierzytelniania dwuskładnikowego (2FA) do kont i portfeli zapewnia dodatkową warstwę bezpieczeństwa. Nawet jeśli Twoje hasło zostanie naruszone, 2FA utrudnia atakującym dostęp do Twoich zasobów. Używaj aplikacji 2FA, takich jak Google Authenticator lub tokenów sprzętowych, aby uzyskać dodatkową ochronę, i unikaj uwierzytelniania dwuskładnikowego opartego na SMS-ach, które może być podatne na ataki SIM-swapping.

Wniosek

Wraz z rozwojem branży kryptowalutowej, rosną również metody wykorzystywane przez oszustów do wykorzystywania niczego niepodejrzewających użytkowników. Oszustwa typu honeypot, z ich skomplikowanymi oszustwami i starannie opracowanymi pułapkami, są silnym przypomnieniem o znaczeniu czujności i należytej staranności. Dzięki pozostawaniu poinformowanym, przeprowadzaniu dokładnych badań i stosowaniu silnych praktyk bezpieczeństwa, takich jak korzystanie z cold storage i włączanie uwierzytelniania dwuskładnikowego, inwestorzy mogą chronić się przed padnięciem ofiarą tych złośliwych schematów. W świecie aktywów cyfrowych sceptycyzm i ostrożność są kluczowe dla ochrony inwestycji i danych osobowych

Pamiętaj, że Plisio oferuje również:

Twórz faktury Crypto za pomocą 2 kliknięć and Przyjmuj darowizny kryptowalutowe

12 integracje

6 biblioteki dla najpopularniejszych języków programowania

19 kryptowalut i 12 łańcuch bloków