Cách yêu cầu airdrop tiền điện tử một cách an toàn từng bước: quy trình ưu tiên bảo mật

Airdrop tiền điện tử là phân phối token trên chuỗi mà bạn có thể nhận miễn phí nhưng vẫn yêu cầu bạn kết nối ví và ký giao dịch, đây là nơi mà hầu hết các vụ lừa đảo xảy ra. Để yêu cầu airdrop tiền điện tử một cách an toàn từng bước, hãy tách rủi ro với một ví chuyên dụng, xác minh URL yêu cầu chính thức và chi tiết hợp đồng, chỉ phê duyệt những gì cần thiết, sau đó thu hồi quyền truy cập còn lại sau khi token đã đến.

Yêu cầu airdrop tiền điện tử là gì (và tại sao nó có thể rủi ro)

Một airdrop tiền điện tử là một phân phối tự động trên chuỗi gửi token hoặc NFTs đến các tài khoản đủ điều kiện, thường không tốn phí ngoài bất kỳ phí gas nào cần thiết để hoàn tất giao dịch yêu cầu.

MetaMask mô tả airdrop là các giao dịch tự động gửi tài sản đến tài khoản của bạn “thường miễn phí (không bao gồm bất kỳ phí gas nào bạn có thể cần phải trả),” và các hướng dẫn cho người mới bắt đầu cũng tương tự định hình airdrop như là các phân phối dựa trên hợp đồng thông minh có thể yêu cầu gas khi bạn yêu cầu.Không phải mọi airdrop đều yêu cầu yêu cầu thủ công. Một số phân phối là tự động, có nghĩa là token đơn giản xuất hiện trong ví của bạn khi dự án thực hiện phân phối. Những cái khác là dựa trên yêu cầu, có nghĩa là bạn phải truy cập vào một trang web hoặc ứng dụng chính thức, kết nối ví của bạn và ký một giao dịch để nhận phân bổ.Cửa sổ yêu cầu và thời hạn là phổ biến trong các airdrop dựa trên yêu cầu, và một hướng dẫn mô tả các cửa sổ điển hình dao động từ khoảng 30 ngày đến vài tháng, mặc dù điều này không phổ biến trên tất cả các dự án.Rủi ro đến từ các hành động chính xác làm cho việc yêu cầu trở nên khả thi. Việc yêu cầu thường yêu cầu kết nối ví của bạn với một trang web và ký các tin nhắn hoặc giao dịch. Kẻ lừa đảo khai thác quy trình đó với các miền lừa đảo, các trang “yêu cầu” giả mạo và các hợp đồng rút ví khiến người dùng cấp quyền truy cập nguy hiểm. BitcoinTaxes trích dẫn các khoản lỗ báo cáo hơn 494 triệu đô la cho các vụ lừa đảo rút ví vào năm 2024, tăng 67% so với năm trước, nhấn mạnh rằng một chữ ký sai có thể tốn kém như thế nào.Hai khái niệm quan trọng nhất cho sự an toàn trên các chuỗi EVM như Ethereum, Base, Arbitrum, Optimism và Polygon. Đầu tiên là chữ ký hoặc giao dịch mà bạn phê duyệt trong ví của bạn. Thứ hai là phê duyệt token, còn được gọi là khoản cho phép, có thể ủy quyền cho một hợp đồng thông minh chi tiêu token từ ví của bạn. Các nguồn tin liên tục cảnh báo rằng các phê duyệt không giới hạn hoặc quyền chi tiêu rộng rãi là con đường phổ biến dẫn đến việc bị rút ví, vì vậy cách tiếp cận an toàn nhất là coi mỗi yêu cầu airdrop như một tương tác với một dApp không đáng tin cậy cho đến khi bạn đã xác minh.Thiết lập trước khi yêu cầu: tách rủi ro với ví và môi trường phù hợpBắt đầu với một ví tự quản, có nghĩa là bạn kiểm soát các khóa riêng và có thể kết nối trực tiếp với dApps. Nhiều hướng dẫn cảnh báo rằng ví trao đổi hoặc ví quản lý có thể không đủ điều kiện cho airdrop vì người dùng không kiểm soát địa chỉ hoặc khóa riêng, và nhiều airdrop được thiết kế xung quanh quyền sở hữu và hoạt động trên chuỗi trực tiếp.Sử dụng một ví riêng biệt, chuyên dụng cho airdrop. Đây là một trong những khuyến nghị nhất quán nhất từ các nguồn, bao gồm Trust Wallet, BitDegree, Linity và BitcoinTaxes. Lý do thực tiễn là kiểm soát phạm vi thiệt hại. Nếu bạn vô tình phê duyệt một giao dịch độc hại, thiệt hại sẽ bị giới hạn ở số dư nhỏ trong ví airdrop thay vì tài sản chính của bạn.Cung cấp ví chuyên dụng với chỉ những gì bạn cần. Việc yêu cầu thường yêu cầu gas được thanh toán bằng token gốc của mạng, chẳng hạn như ETH trên mạng chính Ethereum hoặc token gas liên quan trên L2. Drops.bot và Linity đều nhấn mạnh việc giữ đủ token gốc cho phí gas, nhưng mục tiêu là giữ cho số dư đó nhỏ để có ít thứ để mất nếu có điều gì đó sai.

Củng cố môi trường duyệt web của bạn trước khi bạn nhấp vào liên kết yêu cầu. Drops.bot khuyến nghị sử dụng một thiết lập trình duyệt mới, an toàn hơn, chẳng hạn như một hồ sơ trình duyệt chuyên dụng, và vô hiệu hóa các tiện ích mở rộng không rõ nguồn gốc.

Điều này quan trọng vì các tiện ích độc hại và các script được chèn có thể chuyển hướng bạn đến các miền giống như thật hoặc thay đổi những gì bạn thấy trên một trang yêu cầu.Khóa hai điều không thể thương lượng trước khi tiếp tục. Không bao giờ chia sẻ cụm từ hạt giống hoặc khóa riêng của bạn, và không bao giờ gõ chúng vào bất kỳ trang web nào. Nhiều nguồn tin tuyên bố rõ ràng rằng bất kỳ airdrop nào yêu cầu cụm từ hạt giống hoặc khóa riêng đều là lừa đảo. Cũng hãy đặt kỳ vọng về thanh toán. Hướng dẫn của Trust Wallet rất thẳng thắn rằng airdrop thực sự là miễn phí, và rằng các yêu cầu thanh toán trước hoặc gửi tiền để “kích hoạt” token là lừa đảo. Thanh toán phí gas mạng bình thường trong ví của bạn khác với việc gửi tiền đến một địa chỉ do dự án kiểm soát.Xác minh airdrop là thật: đủ điều kiện, liên kết chính thức và kiểm tra hợp đồng

Xác minh đủ điều kiện trước khi chi tiêu gas. Drops.bot khuyến nghị xác nhận bạn đủ điều kiện với một công cụ kiểm tra đủ điều kiện trước khi thanh toán bất kỳ phí nào. Trong thực tế, điều đó có nghĩa là bạn nên xác nhận địa chỉ ví cụ thể mà bạn dự định sử dụng là đủ điều kiện, và rằng bạn không nhầm lẫn địa chỉ giữa nhiều ví.

Chỉ nhận liên kết yêu cầu từ các kênh chính thức của dự án. Đây là một bước an toàn cốt lõi được lặp lại trên Drops.bot, Trust Wallet, Linity và BitcoinTaxes. Lừa đảo thường bắt đầu với một liên kết trong một tin nhắn trực tiếp, một phản hồi, hoặc một quảng cáo trả tiền trông giống như trang web thật.

Quy trình làm việc của bạn nên là điều hướng từ trang web chính thức của dự án hoặc các kênh xã hội chính thức, sau đó so sánh URL một cách cẩn thận trước khi kết nối ví.Nếu bạn sử dụng các công cụ khám phá tích hợp ví, hãy giữ cùng một sự hoài nghi. MetaMask Portfolio có thể hiển thị “Airdrop đủ điều kiện” dựa trên địa chỉ công khai và lịch sử trên chuỗi của bạn, nhưng MetaMask cảnh báo rằng một khi bạn rời khỏi Portfolio và được chuyển hướng đến một trang yêu cầu bên thứ ba, bạn đang tương tác với các dApps và giao dịch ngoài tầm kiểm soát của MetaMask và nên tiến hành cẩn thận. Hãy coi Portfolio như một chỉ dẫn, không phải là một đảm bảo.Kiểm tra chi tiết hợp đồng trước khi bạn ký. Drops.bot và Linity đều khuyến nghị xác minh các hợp đồng thông minh trên các trình khám phá khối và xác nhận rằng địa chỉ hợp đồng khớp với tài liệu chính thức. Đây là cách bạn tránh được các token giả mạo có tên hoặc mã chứng khoán giống như thật. Nếu dự án công bố một địa chỉ hợp đồng token, hãy so sánh nó trực tiếp với những gì ví của bạn hiển thị và những gì trình khám phá hiển thị.Hiểu khái niệm snapshot để bạn có thể kiểm tra tính hợp lệ của các yêu cầu. Một snapshot là một bản ghi được thực hiện tại một thời điểm hoặc khối cụ thể xác định các địa chỉ nào đủ điều kiện dựa trên số dư hoặc hoạt động. Nếu một dự án tuyên bố bạn đủ điều kiện vì một snapshot, bạn nên có thể đối chiếu điều đó với lịch sử trên chuỗi của bạn và các tiêu chí đã nêu của dự án.Từng bước: yêu cầu airdrop một cách an toàn (kết nối, ký, phê duyệt, xác nhận)Kết nối ví của bạn chỉ sau khi bạn đã xác minh URL. Chuỗi an toàn nhất là mở trang yêu cầu chính thức, xác nhận miền, và chỉ sau đó nhấp vào “Kết nối Ví.” Nếu trang web yêu cầu cụm từ hạt giống hoặc khóa riêng của bạn để “xác thực” ví của bạn, hãy dừng lại ngay lập tức. Nhiều nguồn cho biết airdrop hợp pháp không yêu cầu cụm từ hạt giống hoặc khóa riêng.Xác nhận bạn đang ở trên mạng chính xác trước khi phê duyệt bất kỳ điều gì. Drops.bot nhấn mạnh việc kiểm tra mạng như một phần của việc xem xét giao dịch. Nếu yêu cầu ở trên Arbitrum nhưng ví của bạn được đặt trên mạng chính Ethereum, bạn có thể kết thúc việc ký các giao dịch không mong muốn hoặc trả phí không cần thiết.Đọc mọi thông báo ví như thể đó là một hợp đồng. Ví của bạn sẽ hiển thị liệu bạn đang ký một tin nhắn, gửi một giao dịch, hay cấp một phê duyệt. Thời điểm rủi ro cao nhất là một phê duyệt cấp quyền chi tiêu. Trên các chuỗi EVM, các nguồn cảnh báo cần theo dõi các phê duyệt không giới hạn hoặc quyền chi tiêu không mong muốn và ưu tiên các khoản cho phép hạn chế khi có thể. Nếu quy trình yêu cầu một phê duyệt không hợp lý cho việc nhận một token, hãy coi đó là một dấu hiệu đỏ.Chỉ thanh toán phí gas bình thường. Một yêu cầu hợp pháp có thể yêu cầu bạn thanh toán một khoản phí mạng trong ví của bạn để xử lý giao dịch trên chuỗi. Hướng dẫn của Trust Wallet vạch ra một ranh giới rõ ràng giữa phí gas bình thường và các vụ lừa đảo yêu cầu bạn gửi tiền đến một địa chỉ cụ thể hoặc trả một khoản phí “kích hoạt” trước.Gửi yêu cầu và xác minh việc nhận trên chuỗi. Sau khi bạn xác nhận giao dịch, hãy kiểm tra hoạt động ví của bạn và trạng thái giao dịch trên một trình khám phá khối. Drops.bot khuyến nghị xác minh địa chỉ hợp đồng token sau khi yêu cầu vì các token giả mạo thường sử dụng các tên tương tự. Nếu token không xuất hiện tự động, hãy thêm nó thủ công chỉ sử dụng địa chỉ hợp đồng từ các nguồn chính thức.Mong đợi sự khác biệt về thời gian. Một số airdrop là tự động và có thể xuất hiện mà không cần hành động nào, trong khi những cái khác phân phối ngay sau khi yêu cầu, và một số có thể có lịch trình vesting hoặc phân phối chậm. Trust Wallet lưu ý rằng phân phối có thể ngay lập tức nhưng cũng có thể liên quan đến vesting, trong khi các hướng dẫn khác nhấn mạnh rằng các hợp đồng thông minh có thể phân phối tự động. Điều an toàn là xác minh trên chuỗi thay vì chỉ dựa vào giao diện người dùng của ví.

Sau khi yêu cầu: xác minh token, thu hồi quyền truy cập, xử lý vấn đề và giữ hồ sơ

Thực hiện dọn dẹp quyền truy cập sau khi yêu cầu. Điều này không phải là tùy chọn nếu bạn muốn có một quy trình an toàn có thể lặp lại. Nhiều nguồn khuyến nghị thu hồi các phê duyệt không cần thiết sau khi yêu cầu, cụ thể nêu tên các công cụ như Revoke.cash và công cụ kiểm tra phê duyệt token của Etherscan. Mục tiêu là loại bỏ các quyền chi tiêu token mà bạn không còn cần nữa để một hợp đồng bị xâm phạm hoặc độc hại không thể rút tiền sau này.

Nếu có điều gì đó thất bại, hãy khắc phục mà không cần tạo ra các chữ ký mới. Linity và Drops.bot phác thảo các chế độ thất bại phổ biến như thiếu gas, chọn mạng sai, và giao dịch bị hoàn lại. Các cách sửa chữa an toàn nhất là cơ học: xác nhận bạn có đủ token gốc cho gas, xác nhận cửa sổ yêu cầu vẫn mở, thử lại trong thời gian ít tắc nghẽn hơn, và đảm bảo bạn đang ở trên mạng chính xác.

Nếu bạn không chắc chắn, hãy sử dụng các kênh hỗ trợ chính thức của dự án thay vì nhấp vào các liên kết trợ giúp từ người lạ.

Quyết định phải làm gì với các token từ góc độ bảo mật. Nếu airdrop có giá trị, hãy xem xét việc chuyển các token từ ví airdrop sang một ví an toàn hơn trong dài hạn sau khi bạn đã xác minh địa chỉ hợp đồng token. Mô hình ví chuyên dụng được nhiều nguồn khuyến nghị được thiết kế chính xác cho điều này: yêu cầu trong ví tách biệt rủi ro, sau đó chuyển ra ngoài khi bạn tự tin rằng tài sản là hợp pháp.

Giữ hồ sơ cho thuế và khả năng kiểm toán. Nhiều nguồn cho biết rằng airdrop có thể phải chịu thuế ở nhiều khu vực pháp lý và khuyến nghị giữ tài liệu như ngày và giờ nhận, giá trị tại thời điểm nhận, và phí gas đã trả. Nghĩa vụ thuế chính xác thay đổi theo khu vực pháp lý, nhưng thực tiễn tốt nhất về hoạt động là nhất quán: ghi lại những gì bạn đã nhận và khi nào, và giữ lại các hash giao dịch để bạn có thể chứng minh sự kiện sau này.

Thành công trông giống như một quy trình có thể lặp lại. Bạn yêu cầu từ một ví tự quản lý chuyên dụng, bạn chỉ sử dụng các liên kết chính thức mà bạn có thể xác minh, bạn giảm thiểu việc phê duyệt, bạn xác nhận việc nhận trên chuỗi, và bạn thu hồi quyền truy cập ngay lập tức sau đó.

Quy trình làm việc đó trực tiếp nhắm đến hai điểm thất bại lớn nhất trong thế giới thực được nêu bật trong các hướng dẫn: tên miền lừa đảo và các phê duyệt quá mức cho phép mà cho phép rút tiền từ ví.

Nguồn

Trung tâm trợ giúp MetaMask

BitDegree

Trust Wallet

Drops.bot

BitcoinTaxes

Linity

Trung tâm thương mại Tây Phi

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop

• [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
• [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
• [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
• [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
• [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
• [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
• [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop