Криптошахрайство Honeypot. Як цього уникнути?

Криптошахрайство Honeypot. Як цього уникнути?

У світі криптовалют, що швидко розвивається, привабливість швидкого прибутку іноді може засліпити навіть найобережніших інвесторів від ризиків, які ховаються під ними. Серед різноманітних загроз криптошахрайство honeypot стало особливо оманливою тактикою, яку використовують шахраї для викрадення активів і конфіденційної інформації від нічого не підозрюючих користувачів. Ці шахрайства часто включають підроблені гаманці, токени або смарт-контракти, які здаються законними, але насправді є пастками, призначеними для використання довіри та жадібності своїх жертв. Розуміння того, як працюють ці шахрайства, і навчитися їх уникати є вкрай важливим для тих, хто орієнтується в криптографії.

blog top

Що таке криптошахрайство Honeypot?

Криптошахрайство honeypot — це оманлива тактика у світі криптовалют, коли шахраї заманюють нічого не підозрюючих осіб у пастку, призначену для викрадення їхніх активів або конфіденційної інформації. Шахрайство зазвичай передбачає створення шахрайського криптовалютного гаманця, токена або смарт-контракту, який виглядає справжнім, але насправді є ретельно продуманою пасткою.

Шахраї часто використовують платформи соціальних мереж, як-от X (раніше Twitter), Discord або Reddit, щоб охопити потенційних жертв. Вони видають себе за недосвідчених користувачів, яким потрібна допомога з переказом або виведенням, як вони стверджують, значної криптовалютної виплати. В обмін на допомогу вони пропонують щедрі винагороди, що робить пропозицію привабливою.

Щоб зміцнити довіру, шахрай надає жертві закриті ключі до криптовалютного гаманця, який, здається, містить значну кількість токенів. Ці токени зазвичай знаходяться в менш відомих криптовалютах, які, незважаючи на те, що вони здаються цінними, не можуть використовуватися для покриття комісій за транзакції. Потім жертву просять внести невелику суму в криптовалюті, щоб покрити ці комісії, часто під приводом допомоги «трейдеру в біді».

Коли жертва переказує свою криптовалюту для покриття комісії, кошти автоматично перенаправляються на недоступний гаманець, який контролює шахрай. Це досягається за допомогою автоматизованих сценаріїв, відомих як «бот-прибиральник». Хоча суми, викрадені в кожному випадку, можуть бути невеликими, шахраї повторюють цей процес кілька разів, що призводить до значного сукупного прибутку.

Привабливість шахрайства з приманками полягає в їх здатності виглядати законними та спокусливими, користуючись жадібністю чи доброю волею потенційних жертв. Фальшивий веб-сайт, гаманець або смарт-контракт — «приманка» — призначені для того, щоб змусити користувачів подумати, що вони взаємодіють із надійною платформою, але насправді це ретельно розставлена пастка.

Як працюють Honeypots

Шахрайство Honeypot у світі криптовалют — це ретельно сплановані операції, які обманом змушують користувачів розлучитися зі своїми активами. Ці шахрайства зазвичай розгортаються в серії прорахованих кроків, кожен з яких спрямований на використання довіри та жадібності жертви.

Налаштування та створення

Процес починається з того, що шахрай вирішує тип приманки для розгортання. Це може бути що завгодно: від розумного контракту з очевидною вразливістю до підробленого веб-сайту, що імітує популярну біржу криптовалют. Ключовим тут є те, щоб приманка виглядала легітимною, чи то шляхом розробки веб-сайту, який ідеально повторює добре відому платформу, чи шляхом розгортання смарт-контракту, який, як видається, має недолік, що дозволяє користувачам витягувати токени.

Наприклад, у типовому розумному контракті honeypot контракт, схоже, містить помилку, яка дозволяє будь-кому вилучати з нього токени. Однак, щоб використати цей «недолік», користувач повинен спочатку внести певну суму криптовалюти в контракт.

Просування та заманювання жертв

Після того як приманка встановлена, наступним кроком буде залучення жертв. Шахраї часто використовують платформи соціальних мереж, як-от X, Discord або Reddit, щоб досягти потенційних цілей. Вони також можуть використовувати пошукову оптимізацію, платну рекламу та кампанії в соціальних мережах для залучення трафіку на свої шахрайські платформи. У деяких випадках шахраї можуть видавати себе за початківців користувачів, які потребують допомоги зі зняттям або переказом значної суми криптовалюти, обіцяючи жертві частину коштів в обмін на допомогу.

Щоб завоювати довіру жертви, шахрай може навіть надати доступ до того, що виглядає як гаманець криптовалюти, наповнений цінними токенами. Однак ці токени зазвичай знаходяться в менш відомих криптовалютах, які не можуть бути використані для покриття комісії за транзакції, що змушує жертву вносити додаткові кошти в більш поширену криптовалюту.

Експлуатація та крадіжка

Після того, як жертва перерахує необхідну криптовалюту, вона намагається використати передбачувану вразливість у смарт-контракті або завершити транзакцію на підробленій платформі. Однак тут вступає в дію другий рівень шахрайства. Жертва виявляє, що не може зняти ані свій початковий депозит, ані будь-який із жетонів контракту через приховану ваду.

Шахрайство завершується, коли зловмисник за допомогою автоматизованих скриптів або «ботів-прибиральників» швидко переказує депозит жертви та будь-які інші кошти в контракті чи гаманці на недоступну адресу, фактично викрадаючи активи. Потім шахрайська платформа або контракт швидко видаляється, щоб уникнути виявлення.

Приклад реального світу

Помітний інцидент стався 26 лютого 2024 року, коли Dechat помилково опублікував посилання на смарт-контракт honeypot на своїх платформах соціальних мереж. Незважаючи на те, що помилку було швидко виправлено, деякі користувачі, які взаємодіяли за посиланням, зазнали фінансових втрат ще до вирішення проблеми.

Види Honeypots

Підроблені веб-сайти

Шахраї часто створюють складні фальшиві веб-сайти, які імітують справжні криптобіржі, гаманці або інвестиційні платформи. Ці сайти створені так, щоб вони виглядали майже ідентично законним службам, використовуючи схожі назви, логотипи та веб-дизайн, щоб ввести користувачів в оману. Жертв заохочують створювати облікові записи, пов’язувати свої банківські реквізити та вносити кошти, які потім можуть викрасти шахраї. З появою платформ децентралізованого фінансування (DeFi) шахраї все частіше націлюються на користувачів, створюючи підроблені протоколи DeFi, які обіцяють високі прибутки, щоб зникнути разом із коштами.

Фішингові електронні листи

Шахраї надсилають фішингові електронні листи, які нібито походять від відомих криптовалютних компаній або служб, як-от бірж або постачальників гаманців. Ці електронні листи часто мають офіційні логотипи та вміст, щоб виглядати законними. Вони можуть заявити про проблему з обліковим записом одержувача та запропонувати їм надати дані для входу, щоб вирішити її. В інших випадках електронні листи спрямовують користувачів вносити кошти на фальшиву адресу гаманця, контрольовану шахраєм. Коли жертва вводить свої облікові дані або переказує кошти, шахрай отримує контроль над їхніми активами. Останнім часом почастішали спроби фішингу, націлені на користувачів нових блокчейн-платформ, де шахраї використовують недостатню обізнаність нових користувачів.

Шахрайство в соціальних мережах

Шахраї використовують платформи соціальних мереж, щоб рекламувати фальшиві інвестиційні можливості, часто використовуючи підроблені рекомендації знаменитостей, платну рекламу чи облікові записи самозванців. У деяких випадках вони можуть навіть зламати обліковий запис публічної особи, щоб надати довіри до шахрайства. Наприклад, шахраї можуть створити фальшивий профіль знаменитості, який просуває криптовалюту ICO (Initial Coin Offering). Користувачі, спокушені обіцянками високого прибутку, обманом змушені надсилати криптовалютні депозити, які потім крадуть шахраї. Останнім часом на таких платформах, як X (раніше Twitter) і Instagram, стався сплеск шахрайства, пов’язаного з фальшивими роздачами NFT (Non-Fungible Token).

Маніпульовані монети

Монети Honeypot — ще одна тактика, за допомогою якої шахраї створюють токени за допомогою, здавалося б, прибуткових смарт-контрактів. Інвесторів залучають обіцянки астрономічних прибутків, але вони не можуть вивести свої кошти через приховані правила контракту. Після того, як шахраї зібрали достатньо інвестицій, вони виконують «перетягування килимка», зливаючи контракт і залишаючи інвесторам нікчемні токени. Оскільки проекти DeFi продовжують рости, складність цих шахрайств зростає, причому зловмисники часто використовують лазівки в смарт-контрактах, щоб зловити необережних інвесторів.

Атаки шкідливих програм

Атаки зловмисного програмного забезпечення є поширеним методом, який використовують шахраї для проникнення на пристрій жертви. Як правило, зловмисне програмне забезпечення завантажується через фішингові посилання або вкладення електронної пошти, а потім працює у фоновому режимі без відома користувача. Це шкідливе програмне забезпечення може викрадати приватні ключі гаманця, паролі та інші конфіденційні дані, дозволяючи зловмиснику викачувати криптовалюту. Хоча антивірусне програмне забезпечення іноді може виявляти та видаляти зловмисне програмне забезпечення, багато атак є дуже складними, тому їх важко ідентифікувати, поки не стане надто пізно. Останнім часом спостерігається зростання кількості зловмисних програм, націлених на мобільні гаманці та децентралізовані програми (dApps), оскільки все більше користувачів керують своїми криптоактивами за допомогою смартфонів.

Підроблені Airdrops

У підроблених схемах airdrop шахраї заманюють користувачів обіцянкою безкоштовної криптовалюти. Вони інструктують одержувача надати свою адресу гаманця або, що більш небезпечно, свій закритий ключ, щоб отримати airdrop. Однак це дає шахраю доступ до гаманця користувача, дозволяючи йому викрасти будь-яку криптовалюту, що зберігається в ньому. Важливо зазначити, що для легітимних airdrops ніколи не потрібні конфіденційні дані гаманця. Оскільки популярність airdrops зростає, особливо в просторах NFT і DeFi, користувачам слід бути більш обережними та перевіряти законність пропозиції перед тим, як брати участь.

Як уникнути Honeypots

Щоб уникнути шахрайства з приманками, потрібна пильність і обережність. Ось кілька ключових стратегій, які допоможуть вам залишатися в безпеці:

Дослідження перед інвестуванням

Перш ніж вкладати кошти чи надавати особисту інформацію, проведіть ретельне дослідження платформи чи можливості. Шукайте відгуки з авторитетних джерел, перевіряйте скарги та підтверджуйте, що платформа законно зареєстрована та відповідає відповідним нормам. У світі децентралізованих фінансів (DeFi), що швидко розвивається, також важливо ознайомитись з технічним документом проекту та дослідити команду, яка стоїть за ним, щоб переконатися в законності.

Перевірити дійсність сертифіката

Завжди перевіряйте сертифікат SSL веб-сайтів, які ви відвідуєте, особливо якщо вони пов’язані з фінансовими операціями. Шахрайські сайти часто використовують недійсні або самопідписані сертифікати, що може бути попередженням. Такі інструменти, як перевірка SSL, можуть допомогти вам визначити, чи справжній сертифікат сайту. Крім того, переконайтеся, що URL-адреса починається з «https», а не з «http», оскільки це означає безпечне з’єднання.

Монітор ліквідності

Будьте обережні з жетонами або монетами, яким бракує достатньої ліквідності або які важко перевести в готівку. Неліквідні активи можуть бути ознакою приманки, де шахрай блокує кошти, унеможливлюючи інвесторам можливість продати або вилучити свої інвестиції. Перевірка обсягу торгів токена та його присутності на визнаних біржах може дати уявлення про його ліквідність.

Не довіряйте підтримці знаменитостей

Підтримки знаменитостей, особливо у сфері криптовалют, часто фабрикуються для просування шахрайських монет або проектів. Завжди перевіряйте автентичність схвалень, перш ніж приймати будь-які інвестиційні рішення. Важливо також зазначити, що навіть законні облікові записи знаменитостей можуть бути тимчасово зламані, а шахраї використовують їх, щоб обманом змусити підписників інвестувати в шахрайські схеми. Скептично ставтеся до будь-яких гучних акцій і перевіряйте їх у надійних джерелах.

Вимкніть автоматичні дозволи

Підключаючи програми чи служби до свого криптовалютного гаманця, безпечніше вручну ввімкнути дозволи, а не дозволяти автоматичний доступ до всіх функцій. Шахраї часто використовують автоматичні дозволи, щоб отримати несанкціонований контроль над вашими активами. Регулярно переглядайте та скасовуйте непотрібні дозволи, щоб мінімізувати ризик несанкціонованого доступу.

Використовуйте холодне зберігання

Щоб захистити свої криптовалютні авуари, зберігайте більшість своїх активів у холодних сховищах — офлайн-гаманцях, які не підключені до Інтернету. Це значно знижує ризик скомпрометації ваших коштів у разі шахрайства чи кібератаки. Зберігайте лише невелику кількість криптовалюти в онлайн-гаманцях для щоденних транзакцій.

Увімкнути двофакторну автентифікацію (2FA)

Додавання двофакторної автентифікації (2FA) до ваших облікових записів і гаманців забезпечує додатковий рівень безпеки. Навіть якщо ваш пароль зламано, 2FA ускладнює зловмисникам доступ до ваших активів. Використовуйте програми 2FA, такі як Google Authenticator або апаратні маркери, для додаткового захисту та уникайте 2FA на основі SMS, яка може бути вразливою до атак із заміною SIM-карти.

Висновок

Оскільки індустрія криптовалют продовжує розвиватися, зростають і методи, які використовують шахраї, щоб використовувати нічого не підозрюючих користувачів. Шахрайство з приманками з їх хитромудрим обманом і ретельно продуманими пастками є потужним нагадуванням про важливість пильності та належної обачності. Залишаючись у курсі, проводячи ретельні дослідження та використовуючи надійні методи безпеки, такі як використання холодного зберігання та ввімкнення двофакторної автентифікації, інвестори можуть захистити себе від того, щоб стати жертвою цих зловмисних схем. У світі цифрових активів скептицизм і обережність є ключовими для захисту ваших інвестицій і особистої інформації

banner 3

Зверніть увагу, що Plisio також пропонує вам:

Створіть крипторахунки-фактури в 2 кліки and Приймайте криптовалютні пожертви

12 інтеграції

6 бібліотеки для найпопулярніших мов програмування

19 криптовалют і 12 блокчейн

Ready to Get Started?

Create an account and start accepting payments – no contracts or KYC required. Or, contact us to design a custom package for your business.

Make first step

Always know what you pay

Integrated per-transaction pricing with no hidden fees

Start your integration

Set up Plisio swiftly in just 10 minutes.