以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

NFT防騙指南:歸零也不能便宜了黑客_NFT

Author:

Time:1900/1/1 0:00:00

Crypto的世界如同黑暗森林,你的身邊可能潛藏著無數危機。近日,就有黑客趁著OpenSea合約升級之時,給所有用戶的郵箱發送了一封釣魚郵件,而不少用戶錯把其當作官方郵件而將自己的錢包授權,進而導致錢包被盜。據統計,這一封郵件至少導致3個BAYC、37個Azuki、25個NFTWorlds等NFT被盜,按照地板價計算,黑客收入便已高達416萬美元。

而就在同天夜晚,「AllinNFT」的同濟大學生Niq長期持有的1/1Doodle也被盜,原因是對方找Niq私下磋商交易,在讓Niq放松警惕后發給了他一個假的交易網站鏈接。

如今,我們需要防范的黑客攻擊不僅僅存在于技術層面,還來自社會工程學,再加上眾多NFT項目的價格水漲船高,稍不留神便會損失巨額資產。鑒于最近NFT領域詐騙頻發,律動總結了幾類常見的詐騙手段,希望廣大讀者時刻提高警惕,不要上當受騙。

詐騙手段

NFT項目Bella Hadid聯創起訴創始人,要求賠償7700萬美元:金色財經報道,Web3公司Rebase旗下擁有NFT項目Bella Hadid,該公司聯合創始人Krzysztof Gagacki稱另一位創始人Edmond Truong在10月份從他們共同控制的錢包中盜取了大約200萬美元的加密貨幣。據稱,Truong 還將Gagacki排除在公司運營之外。Truong在其他聯合創始人不知情的情況下啟動談判,發行Arbitrum網絡的代幣。

起訴文件顯示,原告認為Truong已將Gagacki驅逐出該企業,且向第三方表示自己是Rebase的唯一所有者和決策者。Gagacki認為Rebase的價值超過1.5億美元,并要求至少7700萬美元的賠償。Rebase對此予以否認。(theblock)[2023/4/21 14:17:16]

1、通過Discord私信詐騙網站鏈接

NFT巨鯨AgoraMarketplace.eth購入稀有Otherdeed #87598:11月13日消息,在NFT市場陷入低谷時有人開始嘗試Buy the Dip,據NFT巨鯨AgoraMarketplace.eth披露,他已經以50 ETH(約合6.3萬美元)購買稀有Otherdeed #87598,該地塊擁有Otherside元宇宙中最稀有的紅色方尖碑神器。據悉,Otherside只有5個紅色方尖碑。在購入該虛擬地塊后,AgoraMarketplace.eth已經擁有100個Otherdeed。

根據此前發布的Litepaper,Otherside元宇宙共分為三個階段,當前處于第一個階段“航海者之旅”,由11個部分組成,核心故事情節就是圍繞一個出現在異界宇宙中的神秘方尖碑構建。[2022/11/13 12:57:48]

Discord私信鏈接是是黑客常用的行騙手段,黑客往往會通過Discord不同的社區批量私信成員,或是冒充社區管理員以幫忙解決問題為由私信用戶,騙取錢包私鑰。或者發送虛假的釣魚網站,告訴用戶可以免費領取NFT等等。用戶一旦授權給黑客仿造的虛假網站,那么將會給用戶帶來巨大的虧損。

新加坡高等法院:NFT可被視為財產:10月24日消息,新加坡高等法院表示,NFT 可以被視為財產(Property)。新加坡高等法院法官 Lee Seiu Kin 于周五裁定,NFT 符合被視為財產的部分法律要求,例如:可與其他類似資產區分開,并且所有者可以被第三方認可。據悉,該法官的裁決是為了對其 5 月頒布的禁令進行解釋,即禁止任何可能出售無聊猿 NFT 的行為。[2022/10/24 16:37:21]

2、攻擊Discord服務器

Discord服務器被黑客攻擊幾乎是每一個火爆的NFT項目都會經歷的事情,黑客會攻擊服務器管理員的賬號,之后在服務器的各個頻道發布假公告,騙社區成員去黑客早就搭建好的假網站購買假的NFT。而如今的黑客會通過發送詐騙網站等方式騙取服務器管理員的token,這樣即使管理員開啟2FA雙重認證也無濟于事。而如果黑客搭建的詐騙網站會要求用戶錢包的授權,則會給用戶帶來更加嚴重的財產損失。

V神參與的NFT動畫系列StonerCats35分鐘售罄 Gas上漲至600gwei以上:7月28日消息,由女演員MilaKunis推出的NFT動畫系列StonerCats于今日開售,每只售價0.35ETH。據悉,這10,000個代幣在35分鐘內售罄,導致以太坊Gas價格上漲至600gwei以上。StonerCats是MilaKunis推出的動畫系列,由ChrisRock、AshtonKutcher和SethMcFarlane等配音演員配音,以太坊創始人VitalikButerin也為一只名叫Catsington的貓進行了配音。(cointelegraph)[2021/7/28 1:20:02]

3、發送虛假交易鏈接

這類騙術常見于騙子與用戶私下磋商的NFT交易過程。Sudoswap、NFTtrader等交易平臺鼓勵用戶通過私下磋商的方式「交換」彼此的NFT或token,而這些平臺也為私下磋商成的交易提供了安全保障,這對于NFT市場來說本是一件好事,但如今有黑客開始通過仿造的Sudoswap、NFTtrader網站進行詐騙。

曾以11萬美元買入F1賽車NFT的買家信息披露:天使投資人、以太坊巨鯨:2019年5月,代表第一輛數字F1賽車的NFT代幣以破紀錄的11萬美元的價格售出。Blockchain Gaming World披露了買家的詳細信息,而出售NFT并創建了Delta Time的區塊鏈游戲公司Animoca Brands透露,買家化名為“Metakovan”。據了解,Metakovan是一位天使投資人、企業家、以太坊巨鯨和NFT收藏家。在接受采訪時,這位投資者透露,這甚至不是他所進行的最昂貴的購買,而且他還沒有在數字軌道上試駕這款數字汽車。他表示,這個品牌和拍賣激起了他的興趣。(Cointelegraph)[2020/11/12 12:24:27]

Sudoswap、NFTtrader在磋商完成后需要用戶發起一筆交易,這一步驟會生成一個訂單確認網站,雙方確認后交易會通過智能合約自動進行。騙子在一開始會假裝與你商議交換哪些NFT,并先為你展示一個真的網站鏈接,隨后提出對交易進行修改,在交易者放松警惕后,騙子會發送一個詐騙鏈接,用戶點擊確認交易后,錢包中對應的NFT便會被發送至騙子的錢包中。

4、騙取助記詞

騙子會通過各種手段誘導用戶將私鑰或助記詞發送給自己,比如搭建詐騙網站、假裝自己是來幫助用戶的管理員等,種種行為均是為了降低用戶的警惕,伺機騙走私鑰和助記詞。

5、創建假的Collection,在項目的Discord公開頻道尋求交易

虛假NFT合集是在很多熱門項目發售前最容易遇到的。當NFT盲盒正式上線前,騙子會提前在OpenSea等NFT交易平臺上傳名稱類似的NFT合集,并且提前通過官方釋放出的信息精美的「裝修」好這個合集。真正的NFT合集在沒上線的情況下,用戶優先會搜索到名字最為接近的合集。有些騙子為了讓用戶相信還會制造幾筆交易,給當前掛單的假冒NFT發送Offer出價。

為了節省平臺和項目方的版稅抽成,社區成員之間會進行私下交易,除了上文所談到的通過仿造Sudoswap、NFTtrader網站之外,也有騙子通過在社區頻道發送略低于地板價的假NFT合集鏈接。用戶往往會在急于搶購低于地板價NFT時忽略了NFT的真實性從而受騙。

6、假郵件

大部分的NFT平臺都會要求用戶綁定郵箱,以方便用戶能夠第一時間知道自己NFT的交易情況,因此郵箱也成為了詐騙泛濫的聚集地。騙子通常會偽裝成OpenSea平臺的官方賬號,以合約地址需要修改或錢包需要重新驗證等方式向用戶發送釣魚網站鏈接。近日OpenSea在公布合約升級之后,黑客便是以這種方式騙取用戶財產近400萬美元。截止撰稿日期,OpenSea團隊仍然在排查受損用戶。

防騙指南

1、網址甄別

無論黑客采用何種天花亂墜的包裝,和如何令你意亂神迷的語言描述,在最終他盜走你的加密資產之時,始終需要一個和你的錢包發生交互的途徑。普通用戶或許不具備辨別合約風險的能力,但幸運的是,我們至今仍處在一個web2所主導的互聯網世界。幾乎所有的加密合約都需要借助一個web2的前端網頁來和用戶交互。

因此,幾乎絕大多數面向用戶的加密資產盜竊都是發生在仿冒的釣魚網站之上。而一旦了解了如何鑒別釣魚網站,將足以幫你避開99%的加密資產盜竊。

對于伴隨著智能手機成長起來的Z世代來說,他們生活在一個又一個App營造的「生態」之中,對于web網頁這個陳舊的事物或許已經疏于了解了。在web2時代,DNS域名系統為每一個網站賦予了全網唯一的身份標識,了解域名構成的基本規則,將足以應對幾乎全部的虛假釣魚網站。

在傳統的DNS域名中,域名層級分為三級。從第一個分隔符開始從右至左閱讀,每個句號分隔開一個層級。以https://www.opensea.io/為例「.io」和「.com」、「.cn」等類似,被稱為頂級域名,該字段不可自定義。「opensea」被稱為二級域名,也即域名的主體,同一頂級域名下該字段不可重復。「www」部分則為三級域名,該字段網站運營者可自行設置。甚至運營者還可在「www」之前繼續添加四級域名、五級域名。

域名的層級順序是反直覺的:即從右至左層級逐漸降低。這一設計與大多數人的閱讀習慣恰恰相反,也讓攻擊者有了可乘之機。舉例來說,https://www.opensea.io.example.com該地址雖然和opensea地址高度相似,但其實際域名卻為「example.com」而非「opensea.io」。

Web3是否還有釣魚攻擊我們尚且難以預測。但在Web2的世界里,DNS域名系統確保了域名的唯一性,在域名為真的情況下,用戶幾乎不可能打開虛假網站。

2、不要泄露私鑰或助記詞

Crypto錢包不像Web2的電子郵件等賬戶,私鑰與助記詞無法修改、找回,一旦泄露就意味著這個錢包將同時歸屬于你與黑客,你錢包內所有的資產都可以隨時被黑客轉移,而由于以太坊地址的匿名性,你也無法查明黑客到底是誰,損失自然也無法追回,這個錢包也不能再繼續使用。

3、及時取消錢包授權

如果你已經在詐騙網站授權錢包,可以及時前往以下三個地址檢查錢包授權情況并及時取消:

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/

https://debank.com/

作者:NFTLabs,律動研究院

Tags:NFTSEAENSOpenSeaNFT STARSopensea幣單個價格SENSI價格BOpenSea

以太坊價格
愛馬仕LV老總怒懟元宇宙 元宇宙被告_元宇宙

愛馬仕LV老總怒懟元宇宙, 是傳統時代的衛道士, 還是風口激蕩下的清醒者?元宇宙帶來的不只是機會,也有災難。奢侈品品牌愛馬仕正式向“元宇宙”發起法律訴訟.

1900/1/1 0:00:00
金色觀察|剛剛贏得插槽拍賣的Interlay是誰?_BTC

金色財經報道,昨日晚間9點44分,波卡網絡第10次平行鏈插槽拍賣的蠟燭期結束。Interlay在2月24日23:35以鎖定2,751,900DOT贏得波卡第10次平行鏈插槽拍賣.

1900/1/1 0:00:00
金色前哨|KAVA推出7.5億美元的開發者激勵計劃_AVA

金色財經報道,3月4日消息,跨鏈DeFi平臺KAVA宣布KavaDAO已決定分配7.5億美元用于開發者激勵,并宣布激勵計劃“KavaRise”.

1900/1/1 0:00:00
Web 3公司如何出圈? 不妨試試Web2的增長框架_WEB

這是一篇系列文章,本文將探討Web3的創始人和建設者如何使用一些Web2的增長框架來擴展出更成功的產品.

1900/1/1 0:00:00
一周必讀10篇 | 一文了解2022地方政府工作報告中的區塊鏈_區塊鏈

1.一文了解2022地方政府工作報告中的區塊鏈/元宇宙全國兩會召開在即,近日2022年全國31個省區市兩會全部閉幕。與過去兩年一樣,區塊鏈多次被提及.

1900/1/1 0:00:00
如何對NFT進行估值?_NFT

NFT是指非同質化代幣,這種數字加密資產具有獨特性、稀缺性以及不可復制性。NFT是一個寬泛的概念,在OpenSea上,NFT被分為九個類別.

1900/1/1 0:00:00
ads