收了一顆空投，錢包以太幣全消失！新型詐騙「Sleepdrop」崛起，該如何預防？

以假亂真的「Sleepdrop」新型詐騙崛起

大多數的用戶對於小型幣種的空投，通常不會有太多警覺，但如果今天錢包內突然出現「以太幣有關的新代幣」，是不是會覺得自己要趁早上車賺一波呢？

加密世界的詐騙案件層出不窮，即使是在幣圈打滾多年的老手，都有可能一不小心就受騙。

除了Discord、Telegram等較常見的社交軟體詐騙外， 近期出現了一種被稱為「Sleepdrop」的新型詐騙，且已經影響多名用戶。

區塊鏈安全公司Forta近期在推特上了一條推文警告，「Sleepdrop」新型詐騙是透過NFT已有的「睡眠鑄造」（Sleepminting）技術，來模仿真實代幣的外觀，而目前這些有心人士針對ERC-20代幣下手。目前為止，被假冒的有來自Uniswap、Chainlink、Lido、Circle等公司的代幣。

「睡眠鑄造」讓詐騙者在沒有訪問私人錢包地址的情況下，直接鑄造NFT到用戶錢包內，並且同時還保留NFT的收回或提取權限。

也就是說，詐騙者可以將這些「假NFT」轉移到知名創作者或一般用戶的錢包，之後再轉回自己的錢包，從交易紀錄上來看，這個「假NFT」的轉手紀錄就有一定的真實性，甚至還被「升值」了。

用戶怎麼會被騙？

從整個詐騙流程來說，其實就是典型的釣魚詐騙攻擊。

首先，詐騙者會做出一個和現有的合法代幣相關的代幣，並將假代幣空投出去。例如他們就打造了一款和Chainlink原生代幣$LINK相似的$tLINK。由於透過「睡眠鑄造」技術進行過轉移，因此這些代幣交易紀錄，看起來都是來自真實的合法合約。

收到空投而感到好奇的用戶，可能會去代幣名稱中提到的「假網站」確認，而網站上也會宣傳，目前有舊代幣換新代幣的機會。

用戶一旦連接了錢包，就會跳出視窗要用戶簽署一筆連接到去中心化應用程式的交易，但實際上，這項交易在用戶不知情的情況下，偷偷開啟了用戶合約的連結功能，也就會導致少量的以太幣進行轉移。

最後，再透過網路釣魚攻擊，騙受害者賣掉這些幣，而智慧合約也會同步從受害者的錢包中竊取以太幣。而這些和Sleepdrop合約互動的帳戶，最終幾乎都是以戶頭被領空收場。

發現這場騙局的Forta基金會成員伊凡斯潘尼爾（Ivan Spanier）建議，空投必須從經過驗證的合約和官方網站上申請，即使這些代幣看起來像是由官方團隊發送的，用戶都不應該與這類空投代幣互動。

雖然加密詐騙似乎充斥了整個市場，但其實加密貨幣領域的非法活動，僅佔總交易量不到1%，因此只要小心謹慎，不要相信他人提供的任何機會，基本上就不太會受到影響。