使用“扫一扫”即可将网页分享至朋友圈。
NFT防骗指南:归零也不能便宜了黑客
Crypto 的世界如同黑暗森林,你的身边可能潜藏着无数危机。近日,就有黑客趁着 OpenSea 合约升级之时,给所有用户的邮箱发送了一封钓鱼邮件,而不少用户错把其当作官方邮件而将自己的钱包授权,进而导致钱包被盗。据统计,这一封邮件至少导致 3 个 BAYC、37 个 Azuki、25 个 NFT Worlds 等 NFT 被盗,按照地板价计算,黑客收入便已高达 416 万美元。
而就在同天夜晚,「All in NFT」的同济大学生 Niq 长期持有的 1/1 Doodle 也被盗,原因是对方找 Niq 私下磋商交易,在让 Niq 放松警惕后发给了他一个假的交易网站链接。
如今,我们需要防范的黑客攻击不仅仅存在于技术层面,还来自社会工程学,再加上众多 NFT 项目的价格水涨船高,稍不留神便会损失巨额资产。鉴于最近 NFT 领域诈骗频发,律动总结了几类常见的诈骗手段,希望广大读者时刻提高警惕,不要上当受骗。
诈骗手段
1、通过 Discord 私信诈骗网站链接
Discord 私信链接是是黑客常用的行骗手段,黑客往往会通过 Discord 不同的社区批量私信成员,或是冒充社区管理员以帮忙解决问题为由私信用户,骗取钱包私钥。或者发送虚假的钓鱼网站,告诉用户可以免费领取 NFT 等等。用户一旦授权给黑客仿造的虚假网站,那么将会给用户带来巨大的亏损。
2、攻击 Discord 服务器
Discord 服务器被黑客攻击几乎是每一个火爆的 NFT 项目都会经历的事情,黑客会攻击服务器管理员的账号,之后在服务器的各个频道发布假公告,骗社区成员去黑客早就搭建好的假网站购买假的 NFT。而如今的黑客会通过发送诈骗网站等方式骗取服务器管理员的 token,这样即使管理员开启 2FA 双重认证也无济于事。而如果黑客搭建的诈骗网站会要求用户钱包的授权,则会给用户带来更加严重的财产损失。
3、发送虚假交易链接
这类骗术常见于骗子与用户私下磋商的 NFT 交易过程。Sudoswap、NFTtrader 等交易平台鼓励用户通过私下磋商的方式「交换」彼此的 NFT 或 token,而这些平台也为私下磋商成的交易提供了安全保障,这对于 NFT 市场来说本是一件好事,但如今有黑客开始通过仿造的 Sudoswap、NFTtrader 网站进行诈骗。
Sudoswap、NFTtrader 在磋商完成后需要用户发起一笔交易,这一步骤会生成一个订单确认网站,双方确认后交易会通过智能合约自动进行。骗子在一开始会假装与你商议交换哪些 NFT,并先为你展示一个真的网站链接,随后提出对交易进行修改,在交易者放松警惕后,骗子会发送一个诈骗链接,用户点击确认交易后,钱包中对应的 NFT 便会被发送至骗子的钱包中。
4、骗取助记词
骗子会通过各种手段诱导用户将私钥或助记词发送给自己,比如搭建诈骗网站、假装自己是来帮助用户的管理员等,种种行为均是为了降低用户的警惕,伺机骗走私钥和助记词。
5、创建假的 Collection,在项目的 Discord 公开频道寻求交易
虚假 NFT 合集是在很多热门项目发售前最容易遇到的。当 NFT 盲盒正式上线前,骗子会提前在 OpenSea 等 NFT 交易平台上传名称类似的 NFT 合集,并且提前通过官方释放出的信息精美的「装修」好这个合集。真正的 NFT 合集在没上线的情况下,用户优先会搜索到名字最为接近的合集。有些骗子为了让用户相信还会制造几笔交易,给当前挂单的假冒 NFT 发送 Offer 出价。
为了节省平台和项目方的版税抽成,社区成员之间会进行私下交易,除了上文所谈到的通过仿造 Sudoswap、NFTtrader 网站之外,也有骗子通过在社区频道发送略低于地板价的假 NFT 合集链接。用户往往会在急于抢购低于地板价 NFT 时忽略了 NFT 的真实性从而受骗。
6、假邮件
大部分的 NFT 平台都会要求用户绑定邮箱,以方便用户能够第一时间知道自己 NFT 的交易情况,因此邮箱也成为了诈骗泛滥的聚集地。骗子通常会伪装成 OpenSea 平台的官方账号,以合约地址需要修改或钱包需要重新验证等方式向用户发送钓鱼网站链接。近日 OpenSea 在公布合约升级之后,黑客便是以这种方式骗取用户财产近 400 万美元。截止撰稿日期,OpenSea 团队仍然在排查受损用户。
防骗指南
1、 网址甄别
无论黑客采用何种天花乱坠的包装,和如何令你意乱神迷的语言描述,在最终他盗走你的加密资产之时,始终需要一个和你的钱包发生交互的途径。普通用户或许不具备辨别合约风险的能力,但幸运的是,我们至今仍处在一个 web2 所主导的互联网世界。几乎所有的加密合约都需要借助一个 web2 的前端网页来和用户交互。
因此,几乎绝大多数面向用户(而非项目方)的加密资产盗窃都是发生在仿冒的钓鱼网站之上。而一旦了解了如何鉴别钓鱼网站,将足以帮你避开 99% 的加密资产盗窃。
对于伴随着智能手机成长起来的 Z 世代来说,他们生活在一个又一个 App 营造的「生态」之中,对于 web 网页这个陈旧的事物或许已经疏于了解了。在 web2 时代,DNS 域名系统为每一个网站赋予了全网唯一的身份标识,了解域名构成的基本规则,将足以应对几乎全部的虚假钓鱼网站。
在传统的 DNS 域名中,域名层级分为三级。从第一个分隔符(/)开始从右至左阅读,每个句号分隔开一个层级。以 https://www.opensea.io/ 为例「.io」和「.com」、「.cn」等类似,被称为顶级域名,该字段不可自定义。「opensea」被称为二级域名,也即域名的主体,同一顶级域名(比如同为.io)下该字段不可重复。「www」部分则为三级域名,该字段网站运营者可自行设置。甚至运营者还可在「www」之前继续添加四级域名、五级域名。
域名的层级顺序是反直觉的:即从右至左层级逐渐降低。这一设计与大多数人的阅读习惯恰恰相反,也让攻击者有了可乘之机。举例来说,https://www.opensea.io.example.com 该地址虽然和 opensea 地址高度相似,但其实际域名却为「example.com」而非「opensea.io」。
Web3 是否还有钓鱼攻击我们尚且难以预测。但在 Web2 的世界里,DNS 域名系统确保了域名(或者说网址)的唯一性,在域名为真的情况下,用户几乎不可能打开虚假网站。
2、不要泄露私钥或助记词
Crypto 钱包不像 Web2 的电子邮件等账户,私钥与助记词无法修改、找回,一旦泄露就意味着这个钱包将同时归属于你与黑客,你钱包内所有的资产都可以随时被黑客转移,而由于以太坊地址的匿名性,你也无法查明黑客到底是谁,损失自然也无法追回,这个钱包也不能再继续使用。
3、及时取消钱包授权
如果你已经在诈骗网站授权钱包,可以及时前往以下三个地址检查钱包授权情况并及时取消:
https://etherscan.io/tokenapprovalchecker
https://revoke.cash/
https://debank.com/
作者:NFT Labs,律动研究院
“广东财经网”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与
我们联系删除或处理,客服邮箱1098101642@qq.com,稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同
其观点或证实其内容的真实性。
- 声音提醒
- 60秒后自动更新
【民政部回应何时恢复婚姻登记】民政部社会事务司二级巡视员杨宗涛表示,婚姻登记场所是人群聚集场所,部分地区暂停婚姻登记工作是对人民群众安全负责。未停止登记的地方推广用电话、网络、qq群预约登记,控制登记人数,分批分段登记,减少人员聚集和在登记机关停留时间。已停止婚姻登记地方将根据当地疫情控制情况逐渐恢复。
15:54欧洲央行副行长金多斯:欧洲央行还没有达到逆转利率。宽松政策的副作用更明显了。
15:54财经网站Forexlive分析师Justin Low评瑞士1月CPI月率:尽管通胀年率保持稳定,但核心通胀率有所下降,这一点令人更加担忧。这只是进一步巩固了瑞士央行维持现有货币政策不变,并可能在未来寻求更多宽松措施的观点。
15:54【武汉两大批发市场商户开业率超过80%】商务部市场建设司司长朱小良10日称,目前武汉生活必需品供应基本正常,除冷鲜肉、鲜叶菜等少数品种存在结构性短缺外,大部分重要生活物资供应充足,未发生明显抢购或脱销断档情况。当地白沙洲和四季美两大批发市场正常营业,商户开业率超过80%,日交易量上升至3000吨以上。(国是直通车)
15:53【日本2019年经常项目顺差增长4.4%】日本财务省10日发布的国际收支初步统计报告显示,主要受外国人入境游消费扩大影响,2019年日本经常项目顺差增长4.4%。报告显示,2019年日本经常项目顺差为20.06万亿日元(1美元约合109.8日元)。其中,商品贸易方面,由于液化天然气价格下跌等因素,进口下降5.6%至75.56万亿日元;由于汽车部件及钢铁等产品出口减少,出口下降6.3%至76.12万亿日元。货物贸易顺差减少53.8%,为5536亿日元。(新华社)
15:53欧元兑美元EUR/USD短线波动不大,现报1.0952。
15:53瑞士1月CPI年率:0.2%,前值:0.2%,预期:0.1%;瑞士1月CPI月率:-0.2%,前值:0%,预期:-0.2%。
15:52英镑兑美元GBP/USD短线走低13点,现报1.2890。
15:52【宁德时代“供电”国产特斯拉 有望拉低售价20%】全国乘联会秘书长崔东树分析认为,“随着特斯拉国产化率提升和产能爬坡,未来特斯拉国产车型的价格下探空间还是很大的。”他预计今年下半年,国产Model 3车型的售价就有望降至25万元,降幅接近20%。(新京报)
15:51【内蒙古:对不裁员或少裁员企业返还上年度50%失业保险费】据内蒙古新型冠状病毒肺炎疫情防控工作指挥部消息,疫情期间,内蒙古对不裁员或少裁员的企业返还上年度实际缴纳失业保险费的50%,对面临暂时性经营困难的中小企业,返还标准提高到上年度6个月企业及其职工缴纳社会保险费的50%。
15:51【商务部:2019年服务进出口总额54152.9亿元 同比增长2.8%】商务部新闻发言人表示,2019年,在服务贸易创新发展试点等政策的激励下,我国服务贸易总体保持平稳向上态势,逆差明显下降,结构显著优化,高质量发展成效初步显现。全年服务进出口总额54152.9亿元(人民币,下同),同比增长2.8%。其中,出口总额19564.0亿元,同比增长8.9%;进口总额34588.9亿元,同比减少0.4%。(第一财经)
15:51【振华股份:疫情导致下游客户开工推迟 产品库存上升】振华化学公告,公司目前生产经营稳定,所有产能均正常开工,原材料采购能基本满足生产需要,由于疫情导致下游客户开工推迟,公司出货量减少,产品库存有所上升。公司将根据客户需求、疫情及市场变化,适度调整生产经营策略,尽可能保持生产经营的稳定。
15:50环旭电子2月10日晚间公告,公司2020年1月合并营业收入为23.27亿元,较去年同期的合并营业收入减少27.83%,较2019年12月合并营业收入环比减少37.23%。
15:49精测电子:与京东方集团签订了多份销售合同,合同累计金额达到6.96亿元。
17:12华夏银行:银保监会同意本公司在全国银行间债券市场发行不超过100亿元人民币的金融债券,募集资金全部用于绿色信贷。
17:03