QR-аэрдроп почтой: открытка, опустошившая NFT-кошелёк

QR-код, пришедший почтой

Октябрь 2024. Холдер в Москве получает по почте открытку с полированным крипто-логотипом и текстом «Вы прошли отбор на дроп OmniChain — сканируйте QR для получения 500 OMNI». QR ведёт на страницу wallet-connect, выглядящую легитимно. Он подключает MetaMask, подписывает «верификационную подпись». Подпись — setApprovalForAll на весь его NFT-портфель. Слив за 90 секунд.

Почему почтовые дропы кажутся реальными

Email-фишинг приучил большинство держателей к скептицизму. Физическая открытка в почтовом ящике активирует другую ментальную категорию — «официальный документ», «настоящая почта», «кто-то заплатил за марку». Конверсия физического фишинга кратно выше email, что оправдывает более высокую стоимость попытки.

Четыре правила

• Ни один легитимный дроп не доставляется почтой. Реальные дропы клеймятся через onchain-транзакции, сигнализируются через X/Discord проекта, требуют держания токена или выполнения onchain-действия. Ничто в этом workflow не требует, чтобы проект знал ваш физический адрес.
• QR-коды на незапрошенной почте — фишинг. Та же модель угрозы, что email-ссылки: QR ведёт на URL, который контролирует атакующий.
• Wallet-connect с неизвестного URL — это ловушка. Как только мошеннический сайт получил сессию вашего кошелька, каждый запрос подписи — выбор атакующего.
• «Верификационные подписи» — универсальная полезная нагрузка мошенничества. Реальные протоколы никогда не нуждаются в подписи для «верификации» — они проверяют, какие адреса уже держат какие токены.

Если подписали

Срочно на revoke.cash и отзовите каждое одобрение не-мейнстрим контрактам. Переведите каждый NFT и высокобалансный токен на свежий кошелёк. Атакующий мог не успеть — большинство атак происходит за 5–15 минут после подписи, так что если прошёл час и активы на месте, возможно у атакующего были более приоритетные цели в очереди.

Что я делаю с такими открытками

Уничтожаю. Адрес теперь известен мошеннику, и «нет ответа» само по себе информация — это говорит им, что вы скептик, и они могут попробовать более изощрённый подход. Но QR на открытке — это нерабочий мусор.