QR-код, що прийшов поштою
Жовтень 2024. Холдер у Києві отримує поштою листівку з полірованим крипто-логотипом і текстом «Ви пройшли відбір на дроп OmniChain — скануйте QR для отримання 500 OMNI». QR веде на сторінку wallet-connect, що виглядає легітимно. Він підключає MetaMask, підписує «верифікаційний підпис». Підпис — setApprovalForAll на весь його NFT-портфель. Злив за 90 секунд.
Чому поштові дропи здаються реальними
Email-фішинг привчив більшість тримачів до скептицизму. Фізична листівка у поштовій скриньці активує іншу ментальну категорію — «офіційний документ», «справжня пошта», «хтось заплатив за марку». Конверсія фізичного фішингу кратно вища email, що виправдовує більш високу вартість спроби.
Чотири правила
- Жоден легітимний дроп не доставляється поштою. Реальні дропи клеймляться через onchain-транзакції, сигналізуються через X/Discord проєкту, вимагають тримання токена або виконання onchain-дії. Ніщо в цьому workflow не потребує, щоб проєкт знав вашу фізичну адресу.
- QR-коди на незапрошеній пошті — фішинг. Та сама модель загрози, що email-посилання: QR веде на URL, який контролює атакуючий.
- Wallet-connect з невідомого URL — це пастка. Як тільки шахрайський сайт отримав сесію вашого гаманця, кожен запит підпису — вибір атакуючого.
- «Верифікаційні підписи» — універсальне корисне навантаження шахрайства. Реальні протоколи ніколи не потребують підпису для «верифікації» — вони перевіряють, які адреси вже тримають які токени.
Якщо підписали
Терміново на revoke.cash і відкличте кожне схвалення не-мейнстрим контрактам. Переведіть кожен NFT і високобалансний токен на свіжий гаманець. Атакуючий міг не встигнути — більшість атак відбувається за 5–15 хвилин після підпису, тож якщо пройшла година і активи на місці, можливо у атакуючого були більш пріоритетні цілі в черзі.
Що я роблю з такими листівками
Знищую. Адреса тепер відома шахраю, і «немає відповіді» саме по собі інформація — це говорить їм, що ви скептик, і вони можуть спробувати більш витончений підхід пізніше.