时间:2022-02-22|浏览:7361
用戶喜愛的交易所
已有账号登陆后会弹出下载
Crypto 的世界就像一片黑暗的森林,你周围可能有无数的危机。最近,一些黑客利用 OpenSea 合同升级时,向所有用户的电子邮件发送钓鱼电子邮件,许多用户错误地将其授权为官方电子邮件,导致钱包被盗。据统计,这封电子邮件至少导致 3 BAYC、37 个 Azuki、25 个 NFT Worlds 等 NFT 被盗,按地价计算,黑客收入已达416万美元。
同一天晚上,「All in NFT」同济大学生 Niq 长期持有的 1/1 Doodle 也被盗,因为对方在找 Niq 私下谈判交易,让 Niq 放松警惕后,给他发了一个假交易网站链接。
如今,我们需要预防的黑客攻击不仅存在于技术层面,而且来自社会工程,加上许多 NFT 项目价格上涨,稍有不慎就会损失巨额资产。鉴于最近 NFT 领域诈骗频发,律动总结了几类常见的诈骗手段,希望广大读者时刻提高警惕,不要上当受骗。
诈骗手段
1、通过 Discord 私信诈骗网站链接
Discord 私信链接是黑客常用的欺诈手段,黑客经常通过 Discord 不同的社区批量私人信件成员,或冒充社区管理员,以帮助解决问题为由欺骗钱包私钥。或者发送虚假的钓鱼网站,告诉用户可以免费获得 NFT 等等。一旦用户被授权模仿黑客的虚假网站,就会给用户带来巨大的损失。
2、攻击 Discord 服务器
Discord 服务器几乎每个人都被黑客攻击 NFT 项目会经历的事情,黑客会攻击服务器管理员的账户,然后在服务器的各个频道发布虚假公告,欺骗社区成员去黑客已经建立的虚假网站购买虚假 NFT。今天的黑客会通过发送欺诈网站来欺骗服务器管理员 token,这样,即使管理员打开 2FA 双重认证也济于事。如果黑客建立的欺诈网站需要用户钱包的授权,就会给用户带来更严重的财产损失。
3.发送虚假交易链接
这种欺诈在骗子和用户私下谈判中很常见NFT 交易过程。Sudoswap、NFTtrader 和其他交易平台鼓励用户通过私人谈判「交换」彼此的 NFT 或 token,这些平台也为私下谈判的交易提供了安全保障,这对 NFT 市场是一件好事,但现在一些黑客开始模仿 Sudoswap、NFTtrader 网站诈骗。
Sudoswap、NFTtrader 协商完成后,用户需要发起交易。此步骤将生成订单确认网站。双方确认后,交易将通过智能合同自动进行。骗子一开始会假装和你讨论什么 NFT,先给你展示一个真正的网站链接,然后提出修改交易。交易员放松警惕后,骗子会发送欺诈链接。用户点击确认交易后,钱包中对应的 NFT 会被送到骗子的钱包里。
4.骗取助记词
骗子会诱导用户通过各种手段向自己发送私钥或助记词,如建立欺诈网站、假装是帮助用户的管理员等。各种行为都是为了降低用户的警惕,等待欺骗私钥和助记词的机会。
创造假 Collection,在项目的 Discord 公共频道寻求交易
虚假 NFT在许多热门项目出售之前, 集合是最容易遇到的。NFT 盲盒正式上线前,骗子会提前 OpenSea 等 NFT 在交易平台上传类似名称的 NFT 收集,提前通过官方发布的信息精美「装修」好这个合集。真正的 NFT 在没有上线的情况下,用户会优先搜索名称最接近的收藏。为了让用户相信,一些骗子会制造几笔交易,给当前的假订单 NFT 发送 Offer 出价。
为了节省平台和项目方的版税抽取,社区成员将进行私人交易,除上述模仿 Sudoswap、NFTtrader 除了网站,还有骗子通过在社区频道发送略低于地板价格的假 NFT 收集链接。用户往往急于购买低于地板价格的 NFT 忽略了 NFT 的真实性被欺骗了。
6、假邮件
大部分的 NFT 平台会要求用户绑定邮箱,让用户第一时间知道自己 NFT 交易,所以邮箱也成了诈骗泛滥的聚集地。骗子通常伪装成 OpenSea 平台官方账号通过修改合同地址或重新验证钱包向用户发送钓鱼网站链接。OpenSea 公布合同升级后,黑客以这种方式骗取用户财产近400万美元。截至写作日期,OpenSea 团队仍在调查受损用户。
防骗指南
1. 网站筛选
无论黑客使用什么样的炒作包装,以及如何描述你的语言,当他最终偷走你的加密资产时,他总是需要一种与你的钱包互动的方式。普通用户可能无法识别合同风险,但幸运的是,我们仍然是 web2 主导的互联网世界。几乎所有的加密合同都需要一个 web2 前端网页与用户互动。
因此,几乎绝大多数用户(而不是项目方)的加密资产盗窃都发生在假冒的钓鱼网站上。一旦你知道如何识别钓鱼网站,就足以帮助你避免 99% 的加密资产盗窃。
随着智能手机的成长, Z 一代又一代,他们生活在 中App 营造的「生态」其中,对 web 网页这个旧东西可能已经被忽略了。web2 时代,DNS 域名系统为每个网站提供了整个网络的唯一身份识别。了解域名构成的基本规则将足以处理几乎所有的虚假钓鱼网站。
在传统的 DNS 域名中域名级别分为三。从第一个分隔符(/)开始从右到左阅读,每个句号分为一个级别。https://www.opensea.io/ 为例「.io」和「.com」、「.cn」类似地,被称为顶级域名,该字段不能自定义。「opensea」被称为二级域名,即域名的主体,相同的顶级域名(例如.io)下一段不能重复。「www」该字段的网站运营商可以自行设置三级域名。甚至运营商也可以在那里「www」继续添加四级域名和五级域名。
域名的级别顺序是反直觉的:从右到左逐渐下降。这种设计与大多数人的阅读习惯相反,给了攻击者一个机会。https://www.opensea.io.example.com 虽然地址和 opensea 地址高度相似,但实际域名是「example.com」而非「opensea.io」。
Web我们仍然很难预测是否还有钓鱼攻击。Web2 世界,DNS 域名系统保证了域名(或网站)的独特性,用户在域名真实时几乎不可能打开虚假网站。
2.不要泄露私钥或助记词
Crypto 钱包不像 Web2 的电子邮件等账户,私钥与助记词无法修改、找回,一旦泄露就意味着这个钱包将同时归属于你与黑客,你钱包内所有的资产都可以随时被黑客转移,而由于以太坊地址的匿名性,你也无法查明黑客到底是谁,损失自然也无法追回,这个钱包也不能再继续使用。