NFT防盜指南:常見四大手段與三大鑑別方式
作者:律動研究院,NFT Labs
Crypto 的世界如同黑暗森林,你的身邊可能潛藏著無數危機。前幾日,就有黑客趁著 OpenSea 合約升級之時,給所有用戶的郵箱發送了一條釣魚郵件,而不少用戶錯把其當作官方郵件而將自己的錢包授權,進而導致錢包被盜。據統計,這一條郵件至少導致 3 個 BAYC、37 個 Azuki、25 個 NFT Worlds 等 NFT 被盜,按照地板價計算,黑客收入便已高達 416 萬美元。
而就在今天,周杰倫持有的 1 枚 MAYC 和兩枚 Doodles 相繼被盜;頂級 NFT 項目 BAYC 和 Doodles 的 Discord 社區同時被黑客入侵,目前黑客造成的損失尚未確定。
如今,我們需要防範的黑客攻擊不僅僅存在於技術層面,還來自社會工程學,再加上眾多 NFT 項目的價格水漲船高,稍不留神便會損失巨額資產。鑑於最近 NFT 領域詐騙頻發,律動總結了幾類常見的詐騙手段,希望廣大讀者時刻提高警惕,不要上當受騙。
詐騙手段:
1、通過 Discord 私信詐騙網站鏈接
Discord 私信鏈接是黑客常用的行騙手段,黑客往往會通過 Discord 不同的社區批量私信成員,或是冒充社區管理員以幫忙解決問題為由私信用戶,騙取錢包私鑰。或者發送虛假的釣魚網站,告訴用戶可以免費領取 NFT 等等。用戶一旦授權給黑客仿造的虛假網站,那麼將會給用戶帶來巨大的虧損。
2、攻擊 Discord 伺服器
Discord 伺服器被黑客攻擊幾乎是每一個火爆的 NFT 項目都會經歷的事情,黑客會攻擊伺服器管理員的帳號,之後在伺服器的各個頻道發布假公告,騙社區成員去黑客早就搭建好的假網站購買假的 NFT。而如今的黑客會通過發送詐騙網站等方式騙取伺服器管理員的 token,這樣即使管理員開啟 2FA 雙重認證也無濟於事。而如果黑客搭建的詐騙網站會要求用戶錢包的授權,則會給用戶帶來更加嚴重的財產損失。
3、發送假的交易鏈接
這類騙術常見於騙子與用戶私下磋商的 NFT 交易過程。Sudoswap、NFTtrader 等交易平台鼓勵用戶通過私下磋商的方式「交換」彼此的 NFT 或 token,而這些平台也為私下磋商成的交易提供了安全保障,這對於 NFT 市場來說本是一件好事,但如今有黑客開始通過仿造的 Sudoswap、NFTtrader 網站進行詐騙。
Sudoswap、NFTtrader 在磋商完成後需要用戶發起一筆交易,這一步驟會生成一個訂單確認網站,雙方確認後交易會通過智能合約自動進行。騙子在一開始會假裝與你商議交換哪些 NFT,並先為你展示一個真的網站鏈接,隨後提出對交易進行修改,在交易者放鬆警惕後,騙子會發送一個詐騙鏈接,用戶點擊確認交易後,錢包中對應的 NFT 便會被發送至騙子的錢包中。
4、騙取助記詞
騙子會通過各種手段誘導用戶將私鑰或助記詞發送給自己,比如搭建詐騙網站、假裝自己是來幫助用戶的管理員等,種種行為均是為了降低用戶的警惕,伺機騙走私鑰和助記詞。
5、創建假的 Collection,在項目的 Discord 公開頻道尋求交易
虛假 NFT 集合是在很多熱門項目發售前最容易遇到的。當 NFT 盲盒正式上線前,騙子會提前在 OpenSea 等 NFT 交易平台上傳名稱類似的 NFT 集合,並且提前通過官方釋出的信息精美的「裝修」好這個集合。真正的 NFT 集合在沒上線的情況下,用戶優先會搜索到名字最為接近的集合。有些騙子為了讓用戶相信還會製造幾筆交易,給當前掛單的假冒 NFT 發送 Offer 出價。
為了節省平台和項方的版稅抽成,社區成員之間會進行私下交易,除了上文所談到的通過仿造 Sudoswap、NFTtrader 網站之外,也有騙子通過在社區頻道發送略低於地板價的假 NFT 集合鏈接。用戶往往會在急於搶購低於地板價 NFT 時忽略了 NFT 的真實性從而受騙。
6、假郵件
大部分的 NFT 平台都會要求用戶綁定郵箱,以方便用戶能夠第一時間知道自己 NFT 的交易情況,因此郵箱也成為了詐騙泛濫的聚集地。騙子通常會偽裝成 OpenSea 平台的官方帳號,以合約地址需要修改或錢包需要重新驗證等方式向用戶發送釣魚網站鏈接。近日 OpenSea 在公布合約升級之後,黑客便是以這種方式騙取用戶財產近 400 萬美元。截止撰稿日期,OpenSea 團隊仍然在排查受損用戶。
防騙指南
1、 網址甄別
無論黑客採用何種天花亂墜的包裝,和如何令你意亂神迷的語言描述,在最終他盜走你的加密資產之時,始終需要一個和你的錢包發生交互的途徑。普通用戶或許不具備辨別合約風險的能力,但幸運的是,我們至今仍處在一個 web2 所主導的互聯網世界。幾乎所有的加密合約都需要借助一個 web2 的前端網頁來和用戶交互。
因此,幾乎絕大多數面向用戶(而非項方)的加密資產盜竊都是發生在仿冒的釣魚網站之上。而一旦了解了如何鑑別釣魚網站,將足以幫你避開 99% 的加密資產盜竊。
對於伴隨著智能手機成長起來的 Z 世代來說,他們生活在一個又一個 App 營造的「生態」之中,對於 web 網頁這個陳舊的事物或許已經疏於了解了。在 web2 時代,DNS 域名系統為每一個網站賦予了全網唯一的身份標識,了解域名構成的基本規則,將足以應對幾乎全部的虛假釣魚網站。
在傳統的 DNS 域名中,域名層級分為三級。從第一個分隔符(/)開始從右至左閱讀,每個句號分隔開一個層級。以 https://www.opensea.io/ 為例「.io」和「.com」、「.cn」等類似,被稱為頂級域名,該字段不可自定義。「opensea」被稱為二級域名,也即域名的主體,同一頂級域名(比如同為.io)下該字段不可重複。「www」部分則為三級域名,該字段網站運營者可自行設置。甚至運營者還可在「www」之前繼續添加四級域名、五級域名。
域名的層級順序是反直覺的:即從右至左層級逐漸降低。這一設計與大多數人的閱讀習慣恰恰相反,也讓攻擊者有了可乘之機。舉例來說,https://www.opensea.io.example.com 該地址雖然和 opensea 地址高度相似,但其實際域名卻為「example.com」而非「opensea.io」。
Web3 是否還有釣魚攻擊我們尚且難以預測。但在 Web2 的世界裡,DNS 域名系統確保了域名(或者說網址)的唯一性,在域名為真的情況下,用戶幾乎不可能打開虛假網站。
2、不要洩露私鑰或助記詞
Crypto 錢包不像 Web2 的電子郵件等帳戶,私鑰與助記詞無法修改、找回,一旦洩露就意味著這個錢包將同時歸屬於你與黑客,你錢包內所有的資產都可以隨時被黑客轉移,而由於以太坊地址的匿名性,你也無法查明黑客到底是誰,損失自然也無法追回,這個錢包也不能再繼續使用。
3、及時取消錢包授權
如果你已經在詐騙網站授權錢包,可以及時前往以下三個地址檢查錢包授權情況並及時取消:
https://etherscan.io/tokenapprovalchecker
https://revoke.cash/
https://debank.com/