在加密货币、去中心化金融 (defi) 和 Web3 的世界中，空投在这些世界中已司空见惯。 然而，虽然空投听起来像是免费的钱，但藉空投名义的网络钓鱼诈骗趋势正在增长，当人们试图获得所谓免费加密资产时，有机会被他们会窃取金钱。 以下是攻击者使用空投网络钓鱼诈骗窃取资金的两种不同方式，以及使用者该如何保护自己。

空投并非总是意味着“免费加密货币”

空投一直是免费加密货币的代名词，以至于一种称为空投网络钓鱼的加密货币骗局越来越普遍。 如果你是加密货币社区的参与者并使用 Twitter 或 Facebook 等社交媒体平台，您可能已经看到许多垃圾邮件帖子，广告等各种空投宣传。

通常会由一个受欢迎的 Twitter 加密货币参与者帐户会发布一条推文，随后会有大量诈骗者宣传空投网络钓鱼尝试，还有大量帐户表示他们收到了免费加密货币。 大多数人不会误堕这些空投骗局，但由于空投被认为是免费的加密货币，因此也有很多人成为此类攻击的受害者而损失了资金。

第一类攻击是在社交媒体上使用相同的广告方法，因为许多人或机器人会提供导向至空投网络钓鱼诈骗网页的链结。 可疑网站可能看起来没有什么问题，甚至从流行的 Web3 项目中复制了一些元素，但最终，诈骗者目的也是窃取用户资金。 免费空投骗局可能是未知的加密货币，也可能是流行的现有加密货币，如 BTC、ETH、SHIB、DOGE 等。

第一种攻击通常表明参与者可接收空投，但必须使用兼容的 Web3 钱包来取回所谓的“免费”加密货币。 该网站将指向一个页面，当中显示所有流行的 Web3 钱包，如 Metamask 等，但当点击钱包的链结时，会弹出一个错误，并且该网站会要求用户输入助记词。

这就是事情变得阴暗的地方，因为除非用户主动重新恢复钱包，否则 Web3 钱包永远不会要求提供助记词或 12-24 助记词。 然而，毫无戒心的用户可能会认为错误是正常的，并将他们的助记词输入到网页中，最终导致钱包中存储的所有资金丢失。

基本上，用户只是因 Web3 钱包错误页面要求提供助记词而把私钥给予攻击者。 如果是未知的来源，用户永远不应该输入他们的助记词或 12-24 助记词，除非需要恢复钱包，否则真的不需要在线输入助记词。

避免给予可疑 Dapp 所有权限

第二种攻击有点棘手，攻击者使用代码的技术来盗窃 Web3 钱包用户。 同样，空投网络钓鱼诈骗会在社交媒体上做广告，但这次当用户访问网站时，他们可以使用他们的 Web3 钱包“连接”到该网站。

然而，攻击者编写代码的方式并非只是授予网站对钱包读取余额，而是最终授予网站完全权限以窃取 Web3 钱包中的加密货币。 这可以通过简单地将 Web3 钱包连接到诈骗网站并授予其权限来实现。最简单是不连接至该网站来避免攻击，但是有很多人已经堕进了这种网络钓鱼攻击圈套。

保护钱包的另一种方法是确保钱包的 Web3 权限连接到用户信任的网站。 如果有任何看起来可疑的去中心化应用程序（dapps），如用户因“免费”加密货币骗局而意外连接到可疑 dapp，则应删除权限。 然而，通常发现时已经为时已晚，一旦 dapp 获得访问钱包资金的权限，加密货币就会通过应用于 dapp 的恶意编码从用户那里窃取。

保护自己免受上述两种攻击的最佳方法是永远不要在网站上输入助记词，除非您想恢复钱包。 除此之外，永远不要连接或授予 Web3 钱包权限到您不熟悉的可疑 Web3 网站和 dapp 。 如果不注意当前的空投网络钓鱼趋势，这两种攻击可能会给毫无戒心的投资者造成重大损失。