KEN:意外获得空投奖励？小心资产被掏空！-ODAILY_IMT

原标题：明明是空投，为什么币没了？

“空投”一词，对很多玩过大逃杀类游戏的人并不陌生，在游戏中会在固定的时间出现空投物资补给，但是空投的位置是随机投放，经常会吸引一大波“追梦人”去前往争抢拾取，所以在空投周围经常会发生遭遇战，即使在遭遇战中取得胜利获得了空投补给，也时常被其他埋伏的玩家坐收渔翁之利割了韭菜，每个空投在带来高额收益的同时，也往往包含着巨大的风险。

“空投往自己身上砸”，应该不少玩家都做过这个美梦，那在虚拟货币的世界，被空投砸中是“幸运天选”还是另有猫腻呢？

什么是虚拟货币空投

关注虚拟货币的朋友，应该都听说过“糖果”和“空投”，那糖果和空投分别是什么呢？两者又有什么区别呢？

安全团队：Brahma TopGear (brahTOPG) 项目存在任意外部调用的风险，请迅速取消授权:11月10日消息，据慢雾安全团队监测，2022年11月10日，ETH链上的brahTOPG项目遭到攻击，攻击者获利约 89,879 美元。慢雾安全团队分析称，此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查，导致了任意外部调用的问题，攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。

慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。[2022/11/10 12:43:42]

区块链项目方为了造势通过发放“免费的午餐”，以此来培养忠实用户，快速吸引更多的人来参与，增加项目本身的影响力，有点类似前些年打车软件、外卖平台的“烧钱式营销”，所以糖果和空投本质上都是为了快速获得市场的营销方式而付出的推广成本。

Axion Network出现漏洞导致790亿枚AXN被意外铸造:在11月2日上线后仅几个小时，Axion Network代币AXN的价格下跌了100%。对此，Axion Network首席运营官声称这次价格大跌是由于合约中出现了铸造漏洞。Axion Network团队称，已有50万美元被盗。他们甚至建议用户避免立即购买AXN代币，并远离网络的仪表板。一位推特用户指出，有790亿枚AXN被意外铸造和出售。（ambcrypto）[2020/11/3 11:28:44]

糖果

糖果就是指区块链项目方给早期用户奖励的代币，等待该项目上线交易所后，赠送的代币是可以在交易所直接变现的。

奖励方式：一般是注册奖励和邀请奖励，奖励的代币直接发放到个人账户，也有些项目方规定需要加入该项目的社群，通常参与方式都比较简单。

安全风险：

分析 | 以太坊Parity客户端存在安全隐患，可能会意外导致主网“分叉”:PeckShield安全人员研究发现，由于以太坊Parity客户端存在某种缺陷，当它收到一个问题区块时，下个有同样哈希的合法区块将不被处理。具体而言：攻击者可向Parity客户端发送合法header+非法body，使得之后的合法区块header+body被Partiy客户端过滤，但可以被geth等客户端接收，进而可能会导致以太坊主网意外“分叉”。Parity客户端目前占以太坊主网的22.08%，主要应用于矿池、交易所等相关节点。PeckShield安全人员建议，矿池和交易所节点应尽快升级Parity新版本或将节点迁移至geth客户端，同时应适当提高区块确认块数。[2019/12/31]

如果遇到必须付费才能参加的糖果活动或者要求先投资一笔钱才能提现的，就很可能是借着糖果的幌子的子币或币。

声音 | BM：钱包代码非意外发布 需阶段性提交发布以衔接工作:据MEET.ONE消息，5月29日，BM在电报群内与社群成员进行互动。有成员提问“B1钱包有没有脸部识别功能”，BM回复称“有纹识别功能”。另一成员提问“是不是有人意外发布了代码”，BM 回应称“不是意外，这需要阶段性提交发布以衔接工作”。[2019/5/29]

空投

虽然“糖果”和“空投”都是给用户免费发放代币，其实严格来说两者是有一定区别的，最大的区别就是两者的派发方式。糖果派发是直接赠送给参与活动的用户，空投是项目方选择一个时间节点，根据当时某种代币的资产分布情况，按一定比例赠送代币给潜在用户。

空投和糖果的不同有两点：

1、空投不是针对所有用户，而是一部分指定的潜在用户。

2、空投赠出的代币数量不是恒定的，而是按照每个用户的拥有比例来决定。

动态 | Coinnest因空投意外损失530万美元:根据CoinDesk Korea的数据，韩国加密交易所Coinnest上周宣布，由于计算机错误，大约60亿韩元（约530万美元）的比特币和其他加密货币在该交易所试图空投We Game Tokens（WGT）时被错误地发送给客户。该交易所现在希望收回在空投中意外发送给客户的加密货币。此外，由于服务器问题，一些客户还从交易所收到韩元。交易所没有计划赔偿用户因服务器问题而遭受的任何损失。Coinnest的服务器问题于1月19日得到解决，该公司计划回滚交易以恢复其资产。[2019/1/22]

现在很多项目方把自身的糖果派发活动都叫做空投，所以现在空投和糖果已经被混淆在一起了。

知帆科技安全团队根据相关情报分析发现一种以“空投”为噱头的新型虚拟货币——取私钥盗取钱包资产。

真实案例解析

子先是冒充Sushiswap官方空投，后冒充imToken钱包官方，诱导用户下载的APP导入自己的钱包，之后子在后台获取到用户私钥，把钱包里的虚拟货币转走。

冒充的客服给用户发的公告

1、子利用Sushiswap官方的空投信息，借用其官方知名度，自己制作空投页面，在微信群中伪装客服引导用户参与。不仅如此，客服为了和用户拉近距离，使用美女或帅哥作为头像。

2、子把Sushiswap官方项目所有资源，官网、合约开源代码，宣传语等包装成自己的素材，诱导用户。

3、吸引用户进入电报、QQ、微信群，通过微信一对一的给用户发送公告，如果你对此怀疑，他们会发送给你P好的官方公告图，用户在真正的官网上是查不到子发布的公告，所以子会告知用户该代币是不对外发放的，仅对参与的用户发放奖励，对于此解释，不少用户信以为真。

子P的imToken官方公告

4、子为了加强这个项目的真实性，会P出各种各样的图来，同时还会通过语音或官方400电话，引导用户进入发送的链接或下载imToken钱包。

其实这个下载的钱包是项目方自己仿冒研发的钱包，并不是imToken官方钱包，用户下载之后，自己创建新钱包转入相应数量的本金，或者导入自己原有的钱包私钥，领取平台所宣传的空投福利，而此时，子就已经拿到了用户的私钥。

5、拿到用户私钥后，子基本就可以控制该账户里的资金，随时可以转走用户钱包里的资金。

总之，子是蹭Sushiswap和imToken的热度，冒充官方发布虚假官方信息，以免费领取空投代币为理由，诱导用户扫描二维码下载仿冒的imToken钱包，取用户的资金。

手法

以空投为噱头取用户的私钥是犯罪分子新型的手段，一般来说他们要经过以下步骤：

1、项目方发行代币。

2、制作项目官网或APP。有的子会直接仿造一个出名的项目官网，只是域名稍微有所不同，不仔细看很难看出来，子还会通过在搜索网站购买广告位和竞价排名，引导用户访问虚假官网；

3、制作相关宣传资料，包装该空投项目。例如白皮书、商业计划书、媒体宣传话术；

4、建立各大媒体宣传渠道，准备电报群、QQ群、微信群，Twitter、Youtub账号，在以上各大平台进行宣传发放该项目资料，特别会在电报群中做推广，因为其匿名和隐私性，来躲避监管部门的追查；

5、引导用户下载注册假冒钱包APP，导入自己的钱包或者创建一个钱包类型的账户；

6、以免费空投的名义在各大媒体渠道进行宣传；

7、关停项目，转移资产，解散相关社群，销毁证据，直接跑路。

值得注意的是，正常一个去中心化钱包，项目方是获取不到用户私钥的，但子仿造的去中心化钱包，只要用户使用后，子就能拿到用户私钥，就会有资产被盗的风险。

安全提醒

知帆科技安全团队提醒大家：

1、遇到空投项目要多渠道了解比对。可以先从网上查询，与朋友打听了解，如果你看到这个官网的信息很粗糙，不支持多语言环境，很有可能是假冒的官网，可以通过域名可进行区分。

2、项目活动通告，要从官网上查看，但凡官方没有相关信息，都有可能是假冒的项目。近期，知帆安全团队收到子诱导用户下载假冒钱包APP盗取资产的相关案件，也就是说子蹭imToken钱包的热度，自己仿造一个假的imToken官网同时冒充imToken客服发布虚假官方信息，以免费领取空投代币为理由，诱导用户扫描二维码下载假的imToken钱包并充值，利用假钱包实施。

3、不要打开不明链接领取空投，如果让下载有关APP，一定要从官网下载。

4、不要导入自己钱包的助记词或私钥到陌生钱包APP。

5、当你想要投入更多资金购买代币以获得更多空投的时候，一定要小心谨慎，注意理性投资。

标签：imtokenKENIMTTOKimtoken币不见了imtoken钱包官网最新imtoken钱包app下载网址安卓Bituan Token

Gate交易所热门资讯