Cointime

扫码下载App
iOS & Android

NFT防范指南:一文了解常见的NFT诈骗手法

媒体

作者:Nancy,PANews 

加密行业的黑暗森林危机四伏,暗藏着各式各样的危机与陷阱,资产被盗的剧情经常上演,热门赛道NFT和知名玩家们亦不能幸免。NFT项目Moonbirds创始人Kevin Rose在1月25日证实,其个人钱包遭到黑客攻击,共丢失25枚Chromie Squiggles以及其它NFT。

随着NFT被盗事件和金额增多,本文将梳理常见的骗局类型及防范技巧。

NFT骗局知多少

NFT市场规模与日俱增的同时,“零元购”被盗事件愈发频繁,且攻击手法层出不穷。

1、虚假广告窗口

近期,加密KOL NFT God发推称,因黑客入侵其Twitter、Substack、Gmail、Discord和钱包,导致其损失全部加密资产和NFT,黑客还通过盗取的账号发布诈骗链接。被黑原因为此前在新设备上把Ledger设置为热钱包而不是冷钱包,助记词在联网电脑上的钱包导入使用后,然后在下载视频流软件OBS进行游戏直播后,点击了谷歌上的赞助商链接下载了恶意软件,使黑客可以访问其资金。实际上,谷歌的广告允许任何人绕过排名并在搜索结果排在第一位,而用户点击这类展示广告的概率非常高,这也为诈骗提供了更多可能性。

2、虚假空投诱骗

“高价”收购被空投NFT是种新型诈骗手段,受害者在收到一些不知名的NFT空投后,会被诈骗者开出高价进行收购。如果投资者选择交易该NFT,会在因一些特殊原因导致交易报错提示时进入虚假的钓鱼诈骗网站进行授权,最终导致自己资产被盗。

3、伪造NFT

今年3月,日本东京的Whitestone发布一起NFT相关诈欺公告,表示有非官方人士假借白石画廊之名义,贩售知名艺术家草间弥生之NFT。其实,市面上有不少诈骗者通过剽窃艺术家作品并在NFT市场上架假版本,使得不少人购买了无任何价值假NFT。不仅如此,还有些骗局会在NFT交易平台上传名称相似的假冒项目,甚至还会创建几笔交易来迷惑用户,对于一些习惯使用搜索功能的用户而言非常容易中招。

4、虚假电子邮件

今年2月,OpenSea官方进行智能合约升级,用户需将他们在以太坊上的NFT列表迁移至新的智能合约中。黑客趁机伪装成官方给用户发了一封升级提醒邮件,不少防范意识不强的用户对钓鱼链接进行了钱包授权后导致NFT资产被盗,包括Bored Ape Yacht Club、Cool Cats、Doodles和Azuki等。

由于不少NFT项目要求用户进行邮箱绑定来第一时间获取消息,这也使得很多攻击者冒充官方并以合约地址修改、钱包重新验证等由向用户发送钓鱼链接,因此邮箱也成为了诈骗的重灾区。

5、官方被黑或被伪装

或因员工被钓鱼攻击、下载恶意软件、未设置双重认证等多方面原因,NFT项目的官方账号也常常被黑。2022年4月,Bored Ape Yacht Club官方Instagram帐户遭到黑客攻击,黑客利用该Instagram账户分享了一个仿冒无聊猿游艇俱乐部网站的欺诈链接,其中包含让用户将他们的MetaMask连接至诈骗钱包以参与虚假空投,随后黑客窃取了价值超过280万美元的NFT。同年6月,Yuga Labs的Discord服务器被黑,攻击者利用该账户在官方BAYC及元宇宙项目中发布钓鱼链接后获利。

当然,还有些诈骗者通过伪造NFT项目的官方账户并取得用户信任后,会发送钓鱼网站让他们签名,即不花费任何资金就可购买账户内的NFT,而大部分用户是无法辨别由一串数字和字母组合的签名内容中的问题。此外,私信链接是是常用的行骗方式,他们往往会通过Telegram、Discord等平台中的各类社区批量私信成员,甚至冒充管理员来骗取用户的钱包私钥。

6、生成相同尾号地址

通常而言,大部分用户只会通过检查合约地址前后位数来判断地址是否正确,这也给了攻击者机会。他们会利用用户复制历史交易记录中过往地址的习惯,伪造一份前后相同位数的合约并不断空投小额数量的Token,若用户不仔细检查完整地址则很容易被盗取资产。另外,除了相同尾数骗局,零转账的链上地址投毒攻击也需警惕,不少用户会将该地址当作可信的交互地址。

资产保护的正确姿势

链上操作是不可逆的。被盗取资产后,大部分人其实很难再找回,特别是没有任何技术技能的普通用户。那么,该如何避免自己资产被诈骗?

1、保护好私钥或助记词:与电子邮件、社交平台等Web2账户泄露可更改密码不同,私钥与助记词作为钱包的“钥匙”无法修改与找回,一旦泄露资产就会被洗劫一空。攻击者会通过NFT空投/抽奖、Free Mint等FOMO情绪诱导用户发送自己的私钥或助记词,甚至还会伪装成官方管理员、搭建假域名网站等种方式来降低用户的警惕性。

2、收藏常用网站并甄别官方社交账号:虽然钓鱼网站是最容易被识别的,但NFT资产被盗的主要原因之一。实际上,这类网站无论被包装的多精美(可检查域名、网址拼写等),最终目的是与钱包交互,用户应该保持谨慎态度,收藏经常使用的官方网站,从官网进入社交账号(可通过粉丝数、账户活动、评论参与度等方面进行判断),及别轻易点开私信或邮件分享的链接将很大程度上避开资产被盗的可能性。另外,虽然大部分用户不具备辨别合约风险的能力,但通过安装反网络钓鱼插件,也将有效协助识别部分钓鱼网站。

3、资产隔离并定期检查:使用多个钱包参与NFT交易和铸造等行为,且储存资产和应用交互的钱包需做好隔离,特别是存有大额资金的钱包应避免任何交互。此外,用户还需定期检查钱包是否存在与异常合约交互并及时取消授权。

4、多方信息交叉认证:在参与和铸造NFT前尽职调查非常重要,用户可通过检查社交账户是否验证、多个渠道交叉检查项目信息等方式来评估。

5、仔细核对地址:对于任何转账行为,用户需检查完整的合约地址,也可使用钱包的地址簿转账功能通过直接选择地址转账。另外,对于一些参与项目的合约地址,用户可从官方渠道获取地址,避免被中间攻击者修改。

当然,随着技术的不断进步,资产盗取手法也在与时俱进,因此一旦自己的资产被盗,用户需第一时间隔离自己的资产并更改社交账号密码等个人信息,同时还需告知其他被诈骗账户的相关信息。若是病毒性攻击,还需将电脑等设备进行断网。此外,用户还可以寻求专业的安全公司进行资金追查,以最大程度弥补资金损失。

来源: https://www.panewslab.com/zh/articledetails/qq26luwx.html

NFT
评论

所有评论

推荐阅读

  • Bitlayer宣布推出首期价值5000万美元的Ready Player系列生态激励计划,现已开放报名

    3月29日,比特币L2项目Bitlayer宣布推出系列生态激励计划Ready Player,并正式启动第1期活动Ready Player One。该计划主要面向部署至Bitlayer主网的生态项目,报名并参与Bitlayer生态构建的团队将依据生态贡献度获得丰厚的代币奖励,首期活动奖励总价值超过5000万美元。Bitlayer团队承诺为早期建设者提供全方位的支持,向活动参与者与项目方开放代币奖励、流动性支持、一线机构投资和社区建设等核心生态资源。此次Ready Player One报名将于2024年3月29日正式开放,并持续至4月29日。首期活动计划在Bitlayer主网上线后正式启动,届时将对外公布具体的参与规则与细节。致力于成为比特币的计算层,Bitlayer是一个基于BitVM范式的比特币安全等效的Layer 2,提供比特币安全等效且图灵完备。3月27日,Bitlayer宣布成功完成由一线投资机构Framework Ventures和ABCDE Capital领投的500万美元种子轮融资。

  • 新加坡比特币Layer2项目BEVM完成种子轮和部分A轮融资,估值达2亿美元

    新加坡比特币Layer2项目BEVM宣布完成种子轮融资和部分A轮融资,筹集了数千万美元。20多家投资者包括RockTree Capital、Waterdrip Capital、Arkstream Capital、ViaBTC Capital、Satoshi Lab、Web3port、Cogitent Ventures、MH Ventures、Mapleblock、Electrum Capital、Zephyrus Capital、Lotus Capital、7UPDAO、TimeTells等。该项目的A轮估值达到2亿美元,旨在加速其国际发展和推广。BEVM是一个基于Taproot共识的EVM兼容比特币Layer2网络,使用$BTC作为燃料,旨在将10%的$BTC引入其Layer2网络环境。

  • 以太坊链上DEX昨日交易量超21亿美元

    DeFiLlama 数据显示,以太坊链上 DEX 3 月 28 日交易量为 21.11 亿美元,排名第一。BSC 链上 DEX 日交易量为 13.98 亿美元,排名第二;Solana 链上 DEX 日交易量为 10.97 亿美元,排名第三。

  • 台湾内政部已批准成立加密货币行业协会

    台湾内政部已经批准当地加密货币行业成立行业协会的申请,为筹备成立行业协会而于去年成立的当地加密货币行业工作组表示,工作组现在需要完成所有准备工作,并按照政府要求在6月底前正式成立加密货币行业协会。工作组目前由22家加密货币公司组成,其中包括台湾的主要交易所,如MaiCoin和BitoPro。工作小组指出,已将ACE Exchange从小组中除名,因为这家陷入困境的交易所因其前高管涉嫌不当行为而受到检察官的调查。

  • 灰度ETH信托负溢价率为22.77%

    Coinglass 数据显示,灰度比特币信托基金 ETF(GBTC)溢价率为 0.02%。灰度 ETH 信托负溢价率为 22.77%,ETC 信托负溢价率为 36.58%。

  • 3月29日午间要闻速递

    1.Vitalik:Worldcoin一直在认真对待隐私问题的批评,并将系统所需数据设计得越来越少

  • 3月28日现货比特币ETF净流入达1.79亿美元

    链上数据监测平台Spot on Chain在社交媒体上发文表示,现货比特币ETF3月28日净流入达1.79亿美元,与前一个交易日相比下降26.9%,54个交易日后,累计净流入总额回到121.3亿美元,即上一个全负交易周之前的水平。贝莱德IBIT和灰度GBTC在3月28日的单日流入和流出量都明显放缓。

  • 比特币现货 ETF 昨日总净流入 1.79 亿美元,ETF 净资产比率达 4.25%

    根据 SoSoValue 数据,昨日(美东时间 3 月 28 日)比特币现货 ETF 总净流入 1.79 亿美元。

  • 以太坊铭文ETHS 24H涨幅超95%

    CoinGecko 数据显示,以太坊铭文 ETHS 24H 涨幅 95.9%,现报 7.51 USDT。此前,以太坊创始人 Vitalik 发布最新长文《Ethereum has blobs. Where do we go from here?》。受此消息影响,以太坊铭文价格 ETHS 大涨。

  • ointime 3月24日要闻速递

    1.Ordinals铭文铸造总量突破6300万枚,费用收入超4亿美元2.BOME创始人:2543枚SOL将被转至新地址,并作为打赏退款发送至415个钱包3.专注于数字艺术NFT的去中心化自治组织BottoDAO完成167万美元融资,1kx领投4.Pendle:ether.fi eETH池将在ETHFI第二季活动中回归,并持续10周5.MEME项目Pundu已筹集1亿美元资金 6.本周五超2.5万枚BTC被转入累积地址,创2024年迄今最高纪录7.以太坊Dencun升级之后,发布Chainlink预言机报告的L2 rollup gas成本下降99%8.Partisia代币MPC于Kucoin等多个交易所上线,并发起2500万枚代币空投活动旨在激励生态参与 9.TokenPocket:因Polygon zkEVM问题,转账、链上交互、交易记录等功能受到影响10.L2技术将推动比特币价格上涨