Airdrop: regalo ba mula sa langit, o phishing trap
Biglang lumitaw ang NFT sa wallet, unawain muna kung ano ang gusto nitong ipagawa sa iyo

Linawin muna: anong «airdrop» ang sinasabi mo

Maraming baguhan, sa unang pakinig ng «airdrop», ang naiisip ay «libre». Pero sa NFT at crypto, ang iisang salita ay tumutukoy sa dalawang bagay na magkasalungat ang katangian, kailangang ihiwalay muna.

Ang una ay totoong airdrop: ang isang project, para gantimpalaan ang maagang kalahok, aktibong user, o lumang holder, ay kusang nagpapadala ng token o NFT sa wallet address nila. May pampublikong patakaran ito, opisyal na anunsyo, at malinaw na entry para mag-claim, sa esensya, «pagbabalik-loob» ito ng project. Totoong umiiral ito, pero kadalasang hindi ito nahuhulog nang walang dahilan sa wallet na hindi kailanman sumali sa anumang aktibidad.

Ang pangalawa ay phishing airdrop: ang scammer ay nagpapadala nang libre ng isang NFT na mukhang mamahalin at nakakuhang pangalan sa libo-libong estrangherong wallet. Hindi ito reward, pain ito. Nakatago sa pain ang isang URL o pangungusap na «pumunta dito para kunin ang reward», at basta mong sundin, kumonekta sa site, pumirma ng transaksyon, maaaring maubos ang wallet.

Bakit kayang maghagis sa wallet mo ng estranghero

Maraming hindi makaintindi nito: hindi naman ako nagbigay ng address, bakit may nakapag-padala sa wallet ko ng NFT?

Nasa disenyo ng public chain ang dahilan. Ang wallet address mo ay pampubliko, makikita ng kahit sino sa block explorer ang mahabang string ng address at kung anong transaksyon ang dinaanan nito. At ang paglilipat o pagpapadala ng NFT sa isang address ay hindi nangangailangan ng pahintulot ng kabila. Parang alam ng iba ang house number mo, kaya makapaglalagay sila ng flyer sa mailbox mo, hindi mo mapipigilan. Ang scammer ay gumagawa ng programa para sabay-sabay na ipadala ang iisang pain na NFT sa sampu hanggang daan-daang libong aktibong address, sobrang mura ang gastos.

Kaya ang «natanggap mo» mismo ay hindi nangangahulugang napili ka o napansin ka. Ipinapahiwatig lang nito na nasa isang pampublikong listahan ang address mo. Kapag naintindihan mo ito, hindi ka na madadala sa mga linyang «eksklusibong reward» o «limitado kang makapag-claim».

Tatlong karaniwang trick ng phishing airdrop

Pagkapasok ng estrangherong NFT sa wallet, ang totoong gusto ng scammer ay ang susunod na hakbang, magpagawa sa iyo ng kung ano. Tatlo ang karaniwan; kapag naunawaan mo, agad kang mag-iingat kapag naharap.

Trick 1: pekeng claim page, akitin kang kumonekta at mag-approve

Sa larawan o description ng NFT na ito ay nakasulat ang isang URL, tulad ng «pumunta sa xxx para kunin ang kasamang token». Pinasok mo, isang page na halos kapareho ng lehitimong marketplace, na nag-uudyok na «kumonekta ng wallet para mag-claim». Pagkakonekta, magpo-pop up ito ng transaksyon para pirmahan, kadalasan ito ay approve (authorization), na nangangahulugang «payagan ang contract na galawin ang isang token sa wallet mo». Pagkapirma, magagalaw na ng contract ng kabila ang token mo nang hindi mo namamalayan.

Trick 2: malicious approve, ibinibigay ang kontrol

Ang approve ay normal na mekanismo: sa pagpapalit ng coin sa DEX o pag-list ng NFT sa marketplace, kailangang i-authorize muna ang contract na galawin ang asset mo. Ang problema, maaaring i-set ang authorization sa «unlimited», at sinasadya ng phishing page na ma-authorize mo ang buong balanse ng isang mamahaling token. Sa pagpirma, baka ipinapakita lang ng wallet ang string na hindi maintindihan, akala mo «pag-claim», «pagpapayag» pala. Ito ang dahilan kaya anumang signature na hindi mo maintindihan ay dapat ihinto muna.

Trick 3: permit signature, hindi mo na kailangang magbayad ng gas

May mas tagong paraan pa, tinatawag na permit signature. Hindi ito on-chain transaction, kundi isang «offline signature», pinindot mo lang ang «sign», walang gas fee, walang transfer na lumalabas, mukhang inosente. Pero ang signature na ito ay parang binigyan mo ng authorization certificate ang kabila, at gamit ito, makakagawa siya ng authorization at makakapaglipat ng asset mo on-chain. Dahil walang gas at walang halatang transfer prompt, marami ang hindi namamalayang may nangyaring mali.

Tamang hakbang kapag may estrangherong NFT

Kung may nakita ka nang hindi kilalang NFT sa wallet, huwag mataranta, at huwag itong «pag-aralan». Sundin lang ang sumusunod na ayos.

Iisa lang ang puso: huwag makipag-interact. Ang pagtanggap ng estrangherong NFT ay hindi awtomatikong nagpapawala sa iyo ng kahit ano; nangyayari ang lugi pagkatapos mong «sundin ang sinasabi nito». Ituring na flyer sa mailbox: titingnan, itatapon, magpatuloy sa araw-araw.

Paano i-revoke ang napirmahan nang authorization

Kung naalala mong totoong pumindot ka ng «connect» at pumirma sa isang kahina-hinalang page, ang pinaka-dapat gawin ngayon ay suriin at i-revoke ang authorization.

1. Buksan ang approval check tool. May Token Approval page ang block explorer (tulad ng Etherscan), at karaniwang ginagamit din ng community ang revoke.cash. Ikonekta ang wallet mo dito para makita kung anong contract ang binigyan mo ng authorization at gaano kalaki.
2. Suriin isa-isa. Piliin ang hindi kilala at hindi mo maalalang authorization, lalo na ang ipinapakitang «unlimited» ang halaga.
3. I-revoke. Ang pag-click ng revoke ay maglulunsad ng on-chain transaction, na nangangailangan ng kaunting gas at kumpirmasyon sa wallet. Pagkatapos, hindi na magagalaw ng contract na iyon ang katumbas na asset mo.
4. Kung maraming asset, isipin ang pagpapalit ng address. Kung pinaghihinalaan mong tumagas ang seed phrase mismo (halimbawa, na-type mo na ito sa isang site), hindi na sapat ang pag-revoke. Pinaka-ligtas na gumawa ng bagong wallet, ilipat ang mamahaling asset sa bagong address, at iwanan nang tuluyan ang luma.

Ang pag-revoke ng authorization at pag-verify ng address nang titik-por-titik ay ilan sa iilang aksyon sa mundo ng NFT na «pwede pang isalba», kaya sulit gugulan ng kaunting gas. Bago maglipat, para tiyakin kung tama ang address, gamitin muna ang Ethereum address checker ng site na ito.

Ano ang hitsura ng totoong airdrop at paano i-claim

Pagkatapos ng lahat ng pag-iingat, huwag naman lumayo nang sobra. Totoong reward sa lumang user ang totoong airdrop sa ecosystem ng NFT; iba lang ang paraan ng pag-claim sa phishing airdrop.

• Mula sa opisyal na channel ang balita. Inilalabas ng project ang patakaran ng airdrop sa verified na opisyal na website at social account, hindi basta inilalagay sa wallet mo para «matuklasan mo».
• Ma-verify ang patakaran. Kung sino ang kwalipikado, anong pamantayan, kailan mag-claim, malinaw na nakasulat, at ma-verify sa block explorer laban sa snapshot.
• I-verify nang paulit-ulit ang claim entry. Kahit totoong project, dumaan sa claim page mula sa opisyal na anunsyo, huwag sa search result, huwag sa DM link, huwag sa comment section, dito madalas magpanggap ang pekeng site.
• Karaniwang hindi humihingi ng high-risk authorization ang totoong claim. Ang lehitimong claim ay kadalasang normal na claim transaction; basahin bago pumirma. Kung biglang pinapayagan kang i-authorize ang buong balanse ng isang mamahaling token, huminto at i-verify muli.

Sa isang pangungusap: sa totoong airdrop, ikaw ang «kusang pumunta sa opisyal para mag-claim»; sa phishing airdrop, ito ang «humahabol sa iyo para mag-claim». Baliktarin ang direksyon, baliktad din ang katangian.

Mga Madalas Itanong

Mga Sanggunian

Ang mga konsepto sa seguridad na tinalakay dito ay maaari mong i-verify mismo sa mga page sa ibaba:

• ethereum.org/security, opisyal na gabay ng Ethereum sa seguridad at anti-phishing
• Etherscan token approval checker, tingnan at i-revoke ang authorization ng isang address
• revoke.cash, karaniwang tool para sentralisadong tingnan at i-revoke ang wallet authorization
• MetaMask support center, opisyal na paliwanag sa seguridad at signature ng wallet
• Etherscan, gamitin ang address para tingnan ang on-chain transfer at contract interaction
• OpenSea docs, paliwanag sa paghihide ng junk item at mekanismo ng authorization sa marketplace

Magpatuloy sa Pagbabasa