點擊閱讀:Web3安全連載(1)當硬核黑客開始研究“釣魚” 你的NFT還安全嗎?
點擊閱讀:Web3安全連載(2)一文看懂典型的NFT合約漏洞有哪些?
我們推出連載系列的最后一篇——NFT釣魚流程及防范技巧,其中一類是盜取用戶簽名的釣魚攻擊,另一類是高仿域名和內容的NFT釣魚網站。那么如果用戶不幸中招了怎么辦呢?今天我們就來告訴你怎么辦。
「釣魚網站是如何“釣”你的?」
第一種:盜取用戶簽名
在前兩篇文章里,我們提到過該類釣魚網站主要是引誘用戶在釣魚網站簽名,如果用戶簽署了簽名,則釣魚網站可以獲取到用戶錢包中所有的NFT。具體的簽名內容如下:
上圖中紅框一顯示的是簽名請求的網站來源,紅框二顯示的是請求的簽名內容,由于顯示的內容是一串二進制字符,所以用戶其實不知道具體簽署的是什么服務。
如果用戶點擊了“Sign”按鈕,則可能會授權一些無法預測的服務,包括一些危險操作,如:授權釣魚網站擁有用戶錢包中NFT的轉賬權限等。
第二種:高仿域名和內容的NFT釣魚網站
MetisDAO:2023年戰略重點為“Web3經濟多層解決方案堆棧”和“生態節點”:1月13日消息,MetisDAO基金會發布2023年戰略規劃,MetisDAO表示兩個關鍵概念為基金戰略重點:一是“Web3經濟的多層解決方案堆棧”,以太坊主網是安全性、去中心化和最終性的基石。MetisSmartL2是EVM等價的執行層,交易速度快,成本低。但是,基礎設施層和應用層之間仍然存在差距。
目前,在支持所有應用程序和整個Web3經濟方面,SmartL2尚未充分發揮其潛力,與所有當前的L2解決方案相同,需要更多的功能和擴展來擴大和加強整個Web3經濟的必要基礎設施。二是“生態節點”,生態節點是整個Metis生態系統的貢獻者,并將成為基金會發展壯大的基礎設施。在過去的一年里,基金會積極與部分生態貢獻者進行孵化合作,支持他們試運行生態節點。
第一批即將啟動的生態節點是:SmartL2、Matrix Reputation Power、DAC Framework、P1X。[2023/1/13 11:10:06]
前面的的文章里我們提到過該類釣魚網站主要分為三類,第一類是僅更換原官網的頂級域名,第二類是主域名添加單詞或符號進行混淆,第三類是添加二級域名進行混淆的釣魚網站。
涉及到的釣魚手法主要分為三種,第一種是偽造NFT項目官網誘騙用戶直接進行轉賬的釣魚網站,第二種是使用假空投誘騙用戶授權的釣魚網站,第三種是誘騙用戶輸入錢包助記詞的釣魚網站。下面將對其釣魚手法進行詳細介紹。
CZ:想幫助馬斯克將Twitter帶入Web3:金色財經報道,Binance首席執行官CZ稱,想幫助馬斯克將Twitter帶入Web3。[2022/10/31 12:01:35]
1.偽造官網引誘用戶直接轉賬
該類釣魚網站主要是通過偽造NFT項目官網UI界面,誘騙用戶連接錢包之后,點擊“mint”按鈕進行鑄幣。用戶點擊之后會向虛假的項目方地址轉賬,但是并不會收到對應的NFT。具體如下圖所示:
用戶進入到釣魚網站后,會首先點擊對應的“connect wallet”按鈕,連接錢包。之后UI界面會進行刷新,出現如圖所示的“mint”按鈕。通常頁面上還會出現類似“xx用戶已經mint了xxNFT”這樣的浮動標題,主要是為了刺激用戶趕緊點擊mint。如下圖所示:
用戶如果點擊“Mint”按鈕之后,一般情況下釣魚網站為了防止自己的轉賬黑地址泄露,會首先檢測錢包余額是否為空。如果為空則不會進行交易,如果不為空才會彈出類似MetaMask的小狐貍錢包,進行交易。
Streamlined Ventures第5支種子基金和第3支機會基金獲1.4億美元投資,將投資Web 2.5公司:10月27日消息,Streamlined Ventures 宣布旗下的第 5 支種子基金和第 3 支機會基金已獲得 1.4 億美元投資,其中機構投資者、家族辦公室和高凈值人士向其第五支種子基金注資 1.02 億美元,該基金將投資數據科學、API 和 Web 2.5 領域里的初創公司,而第三支機會基金將獲得約 3600 萬美元資金。該風投目前管理資金規模已達到 3.25 億美元,其普通合伙人 Ullas Naik 表示,Streamlined Ventures 在 Web3 領域目前處于「推測階段」,雖然已經投資了幾家,但只關注一些有真正價值轉移的 Web3 公司,比如游戲和 DeFi 初創企業。Ullas Naik 認為當前 Web3 門檻有點高,該風投部署資金的速度要慢得多。[2022/10/27 11:49:56]
2.假空投誘騙用戶進行NFT授權
該類釣魚網站主要是利用假空投等手段,誘騙用戶訪問釣魚網站。在用戶連接錢包后,就會出現“CLAIM NOW”等引誘用戶進行點擊的按鈕,用戶點擊之后就會對釣魚網站的黑地址進行授權。具體如下圖所示:
Celo基金會與IDEO合作,為Web3創始人提供設計支持:金色財經報道,Celo基金會與設計和創新公司IDEO合作,通過其Last Mile Money計劃,幫助沒有銀行賬戶的人過渡到數字經濟。
Celo 基金會和 IDEO Last Mile Money 為在 Celo 的移動優先平臺上構建的創始人提供設計服務。
該合作伙伴關系包括為 Celo 生態系統合作伙伴提供產品評論,以提高數字信心,為產品設計挑戰提供支持,從而改善新興市場新互聯網用戶的整體用戶體驗,旨在使 Web3 工具對主流更具包容性、可訪問性和直觀性采用。(businesswire)[2022/10/1 18:36:40]
之后獲得授權的釣魚網站會將用戶錢包中的NFT全部轉走,具體如下圖所示:
下面是受害者被盜取的NFT交易:
趙長鵬:Web3公司發行代幣應該是為了發展,而非籌集初始資金:金色財經報道,幣安首席執行官趙長鵬在2022年韓國區塊鏈周上表示,Web3公司發行代幣應該是加快發展,而不是籌集初始資金。趙長鵬解釋說,當人們進入Web3并想開發應用程序、項目或初創企業時,他們想立即發行代幣,但我建議不要這樣做,建立產品的市場適應性應該在代幣發行之前。
趙長鵬還表示,一旦你發行了代幣,該代幣就有了一定的效用。每當你改變這一點,你的代幣持有人就會受到影響。要么是積極的,要么是消極的,通常是消極的。(Forkast)[2022/8/9 12:12:53]
3.誘騙用戶填寫助記詞
該類釣魚網站主要是在網頁連接錢包處,或者其他位置誘騙用戶點擊,之后彈出一個偽造的網頁,提示用戶諸如“MetaMask插件版本需要升級”等信息。如果用戶相信并填寫了自己的錢包助記詞,那么用戶的私鑰就會上傳到攻擊者服務器導致用戶錢包被盜。具體如下圖所示:
該釣魚網站彈出如下信息,提示用戶檢測到了MetaMask的一個安全問題,需要用戶升級該錢包插件版本。如果用戶在框中輸入助記詞,則會導致錢包被盜。
「必須學會的防范技巧」
一:防范簽名被盜
目前多數網站為了保護用戶安全已經不支持盲簽的簽名方式,但是如果用戶訪問某些網站時仍然遇到盲簽的情況,請盡量拒絕簽署。本文主要討論以下兩種非盲簽的情況下,用戶如何防范釣魚。
1.用戶簽署交易時需要確認簽署的內容
如上圖所示,用戶簽署授權時主要是對紅框部分的服務條款進行簽名,包括:提示用戶如果點擊“Sign”按鈕則代表接受網站的服務條款,這個請求不會發起交易或者消耗gas費,并且該授權狀態將在24小時后重置等。以及包括簽署簽名的用戶地址、Nonce值等。
2.用戶在進行交易簽名前,應進行多方信息交叉驗證,確保發起交易的網站是真官網。
二:防范高仿域名和內容的NFT釣魚網站
此前文章我們介紹了三種高仿域名和內容的NFT釣魚網站,其中第三種是直接誘騙用戶輸入助記詞。針對該類網站,用戶只需記住任何要求輸入助記詞的網頁都是不安全的即可。本文主要介紹其他兩種釣魚網站的相關防范措施:
1. 偽造官網引誘用戶直接轉賬
這類的釣魚網站通常域名和內容都跟原項目官網十分相似,用戶在訪問時需特別注意識別官網。
1)一般在訪問NFT官網時,首頁通常有官方社交媒體賬號,如:twitter、discord等。
目前很多NFT官方網站都不會直接提供“mint”功能,或將更多數量的NFT放到了諸如Opensea之類的交易所上進行售賣,如下圖所示:
同時,一般在NFT項目官網底部都會列舉出官網社交賬號,下圖紅框處從左往右依次是:Discord、twitter、traitsniper、opensea。
用戶可以訪問這些社交賬號,首先識別其賬號是否是官方賬號,通常直接在twitter上搜索項目名稱可以發現官方賬號,如果存在同名的情況那么注意篩選出關注人數較多的賬號,具體如下圖所示:
上圖中顯示的第一個紅框就是NFT項目對應的官網,任何其他的網址都是釣魚網站;第二個紅框是該項目在其他平臺上的官方鏈接,如:Opensea交易所等;第三個紅框是關注的人數,從人數上也可以對官方賬號進行篩選,當然也需要警惕釣魚大號,最好是進行信息交叉驗證,保證自己訪問的是官網。
2)假空投誘騙用戶進行NFT授權
攻擊者通常會通過Discord等社交賬號發布假空投的釣魚鏈接,這一類的釣魚網站往往難以識別真假,本文提出以下幾點建議希望幫助用戶減少損失。
a. 資產隔離
在進行這類危險交易時,可以采用資產隔離的方式進行,通常包括以下幾種類型:
錢包隔離:用戶可以將錢包根據用途分為兩類,第一類用于存儲資產,包括一些大額資產等,該類資產可以使用冷錢包存儲提高安全性;第二類用于資產交易,尤其是在進行諸如領取空投這樣的危險交易時,可以使用一些臨時錢包。臨時性的錢包包括:使用MetaMask之類的錢包重新創建一個地址里面存儲很少的錢;或一些網絡錢包如:Burner Wallet等,該錢包可以通過在網頁上簡單地設置轉賬的參數,如:轉賬地址、金額等,就可以生成一個臨時性的小額交易二維碼,如下圖所示:
交易媒介隔離:通常指的是用戶在交易時使用的PC、瀏覽器等,可以在進行一些可能存在的危險交易時使用不同的PC,或者使用不同的瀏覽器。
b. 使用項目方智能合約進行mint()
上文提到有很多騙局在推廣免費空投領取時,“mint”按鈕實際上觸發的是請求用戶簽名的操作,一旦點擊將會批準釣魚網站轉移用戶的NFT。所以如果能夠確定領取空投的合約地址,直接調用智能合約里的mint()方法是更安全的方式,下圖是某NFT的合約:
如上圖所示,首先點擊“contract”,之后選擇“Write Contract”頁簽,接下來需要點擊“Connect to Web3”按鈕,連接錢包。如下圖所示:
接著點擊mint()方法,設置mint需要的NFT數量和金額,點擊“Write”按鈕即可。這種方式因為是直接調用的合約方法,所以不存在被釣魚網站盜用簽名的情況。但是,用戶在調用NFT合約時需注意同樣需要交叉驗證項目合約的地址,避免被釣魚合約誘導受騙。
c. 確認消息源
如果用戶收到領取空投的釣魚網站鏈接,首先需要確認信息源,一般可以在官方twitter等社交賬號上確認下有沒有發布的空投消息。如果沒有的話,請不要隨意點擊其他渠道上發布的空投鏈接。
在經歷Luna/UST算法穩定幣的崩盤后,市場持續下跌,繼而又爆出了3AC,Celsuis,BlockFi等機構的一系列流動性危機.
1900/1/1 0:00:00這是一個VUCA世界,我們只是生活在其中。VUCA是斯坦利-麥克里斯特爾將軍的《團隊的力量》一書中所提到的概念.
1900/1/1 0:00:00隨著NFT市場降溫,需要注意到一個現實,即在市場上存在的各種數字資產中,NFT可能引起了最多的討論和爭議。NFT廣受歡迎,受到各類有影響力人士的推崇,投資者很難忽視NFT的吸引力.
1900/1/1 0:00:00有的抵押借貸清算失能,有的信用貸兌付困難。近期,比特幣、以太坊價格持續下跌,紛紛創下過去一年價格新低。整個加密市場受到波及,DeFi 也難以獨善其身.
1900/1/1 0:00:00新一輪的加密熊市正在進行時。CoinGecko數據顯示,市值排名前100的代幣中有多達72個代幣從歷史高點下跌了90%以上。在市值排名前十的加密貨幣中,有九種在當前市場低迷期間下跌了不到90%.
1900/1/1 0:00:00Halborn研究人員發現了一個問題:極少數情況下,可以在硬盤上找到未加密的用戶私匙,該問題已在10.11.3及更高版本的MetaMask瀏覽器擴展錢包中得到修復 背景 Halborn安全研究人.
1900/1/1 0:00:00