GRASS爆火！掛機專案紛紛湧現，如何安全參與？

链源科技PandaLY ｜2024-11-13 20:57

這些掛機項目吸引人之處在於，它們大多無需用戶進行複雜的操作，不需要投入額外的資金，只需讓電腦在後台運行一定時間，用戶就可以獲得獎勵。然而，正因為這些項目往往承諾“輕鬆賺錢”、“無需投入”，因此吸引了大量的散戶用戶參與。正如我們所知道的，哪裡人多，哪裡就有騙子。

本文Hash (SHA1):eeeb15caf37b08bc9a9b6058c54bc433712d748fa96e7afd80531b2531946d59

編號: 鏈源科技Security Knowledge No.049

上週，我們介紹了GRASS的防女巫機制，代掛機制，還有隨GRASS發幣出現的Yuyue的被竊事件。當我們上週發完文章後，發現了自從GRASS爆火後，還湧現了非常多的掛機「零擼」計畫。有的專案融資千萬，有的專案掛個空殼公司沒有融資，憑空出世。而我們今天要講的，就是打著掛機項目的旗號，行著詐騙之事的項目。

GRASS爆火！掛機專案紛紛湧現，如何安全參與？

掛機專案

在我們講今天的主題之前，有必要先提一下目前業界比較知名的一些「掛機專案」。這些項目通常都是透過簡單的掛機操作，用戶就能賺取空投、代幣獎勵。掛機專案的形式多種多樣，具體的操作方式也各有不同，但它們都依賴某種方式的資源共享或運算資源的貢獻。

其中，一些知名的掛機項目包括Grass、DAWN、BlockJoker 等。每個項目的運作模式都不盡相同：

Grass：Grass計畫開始為透過網頁進行掛機，到了二期後為透過官方自研的工具進行掛機，參與者的額外頻寬被提供給企業和研究所，用於數據傳輸或網路資源共享。透過提供頻寬，用戶能夠獲得代幣獎勵。

DAWN：與Grass類似，DAWN也是一個基於頻寬分享的項目，但它更著重於透過分散式自治無線網路將頻寬提供給家庭和企業，從而形成一個去中心化的網路。用戶透過分享自己的網路資源，賺取一定的獎勵。

BlockJoker：這個專案是透過瀏覽器進行掛機。在瀏覽器中透過模擬挖礦過程，讓使用者的電腦的CPU計算雜湊值，使用戶進行工作量證明來取得空投。

這些掛機項目吸引人之處在於，它們大多無需用戶進行複雜的操作，不需要投入額外的資金，只需讓電腦在後台運行一定時間，用戶就可以獲得獎勵。最重要的是，這些獎勵通常是空投代幣、平台積分或其他形式的虛擬資產，因此它們吸引了許多散戶用戶和工作室參與。

然而，正因為這些項目往往承諾“輕鬆賺錢”、“無需投入”，因此吸引了大量的散戶用戶參與。正如我們所知道的，哪裡人多，哪裡就有騙子。雖然一些正規的掛機項目是合法且有實際價值的，但隨著這些項目的熱度上升，也湧現了大量的詐騙和惡意項目。

其中一些騙子利用這種「掛機」模式，偽裝成類似的項目，誘導用戶下載惡意軟體、瀏覽器插件或匯入錢包私鑰。一旦用戶上當受騙，騙子就可以竊取他們的加密資產或獲取其他個人資訊。這些不法分子往往會偽裝成「正規計畫」的運作方，透過虛假的成功案例和社交證明來增加可信度，吸引更多的使用者上鉤。

自研WEB3插件

受害者在11月8日聯繫了我們，講述了自己在掛機計畫中被騙的經歷，並向我們尋求幫助。事情是這樣的：他在Telegram一個群組裡看到有人分享了一個比肩Grass的“零擼掛機專案”，專案方聲稱這是一個完全免費的活動並且他們和Nodepay專案方有合作，只要使用他們的後門插件就可以獲得1.5倍的Nodepay掛機的收益。

受害者加入的Telegram群組裡的人都在積極分享自己的“成功案例”，他們說只要開啟後門插件就可以得到1.5倍的收益，從而拿到更多Nodepay的空投獎勵。受害者看到這些資訊後覺得非常可信，尤其是看到有些人也做了自己的積分的成長記錄。群組的氣氛也非常火熱，所有人都在討論如何賺更多積分，還有很多人推薦他趕快加入。

在群組朋友（演員）們的引導下，受害者決定使用這個後門插件，於是他下載了後門插件並按步驟操作，在後門插件裡輸入了自己的錢包助記詞。後門插件的介面看起來正常，沒有任何可疑之處，受害者沒有多想，繼續按照指引進行了操作。

不久後，受害者發現自己的錢包裡SOL和ETH的資產都被轉走了，顯然是被人偷走了。此時他才意識到，他已經把錢包的私鑰暴露給了騙子，導致資產被竊。

經鏈上溯源分析後，我方確認，受害者失去資產的原因為助記詞外洩。

GRASS爆火！掛機專案紛紛湧現，如何安全參與？