Crypto的世界就像一片黑暗的森林,可能有无数的危机潜伏在你的身边。近日,部分黑客利用OpenSea合约升级的机会,向所有用户的邮箱发送钓鱼邮件,不少用户误将其视为官方邮件,对自己的钱包进行了授权,导致钱包被盗。据统计,这封邮件导致至少 3 个 BAYC、37 个 Azuki、25 个 NFT Worlds 和其他 NFT 被盗。按照底价计算,黑客的收入高达416万美元。
当晚,《All in NFT》同济大学生Niq长期持有的1/1 Doodle也被盗。原因是对方让尼克私下谈判交易,让Niq放松警惕后,给他发了一个假的。交易网站链接。
今天,我们需要防范的黑客攻击不仅存在于技术层面,还存在于社会工程学层面。再加上很多 NFT 项目的价格不断上涨,一不小心就会损失巨大的资产。鉴于近期NFT领域骗局频发,总结了几种常见的骗局。希望读者时刻保持警惕,不要上当受骗。
欺诈手段
不和谐的私人消息链接通常被黑客用来欺骗。黑客经常在 Discord 中向不同社区的成员发送私信,或冒充社区管理员私信用户,帮助解决问题,以诈骗钱包私钥。或者发送虚假钓鱼网站告诉用户可以免费索取NFT等。一旦用户对黑客伪造的虚假网站进行授权,会给用户带来巨大损失。
Discord 服务器被黑是几乎每个流行的 NFT 项目都会经历的事情。黑客会攻击服务器管理员的账号,然后在服务器的各个渠道发布虚假公告,诱骗社区成员访问黑客很久以前建立的虚假网站。假 NFT。今天的黑客会通过发送欺诈网站等方式来欺骗服务器管理员的令牌,所以即使管理员开启了2FA双因素认证也无济于事。如果黑客建立的欺诈网站需要用户钱包的授权,会给用户带来更严重的财产损失。
这种类型的骗局常见于 NFT 交易中,骗子与用户私下谈判。Sudoswap 和 NFTtrader 等交易平台鼓励用户通过私下协商“交换”对方的 NFT 或Tokens,而这些平台还为私下协商的交易提供安全保障,这对 NFT 市场来说是一件好事,但现在一些黑客已经开始通过虚假的 Sudoswap 和 NFTtrader 网站进行诈骗。
Sudoswap 和 NFTtrader 要求用户在协商完成后发起交易。此步骤将生成一个订单确认网站。双方确认后,交易将通过智能合约自动进行。骗子一开始会假装和你协商要兑换哪些NFT,并先给你看一个真实的网站链接,然后提出修改交易。交易者放松警惕后,骗子会发送欺诈链接。用户点击确认交易后,钱包中对应的NFT会发送到骗子的钱包中。
作弊者会通过各种手段诱使用户将自己的私钥或助记词发送给自己,例如搭建诈骗网站、冒充管理员帮助用户助记词等。
在许多受欢迎的项目开始销售之前,最容易发现假 NFT 集合。当 NFT 盲盒正式上线时,骗子会提前在 OpenSea 等 NFT 交易平台上传名称相近的 NFT 收藏,并通过提前发布的官方信息将这个收藏进行精美的“装点”。如果真正的 NFT 收藏不在线,用户将首先搜索名称最接近的收藏。一些诈骗者向当前挂单的假 NFT 发送报价,以说服用户他们将创建多笔交易。
为了节省平台和项目方的版税,社区成员会进行私下交易。除了上面提到的模仿 Sudoswap 和 NFTtrader 网站外,还有骗子在社区渠道发送比底价略低的假价格。链接到 NFT 集合。用户在急于购买低于底价的 NFT 时,往往会因为忽视 NFT 的真实性而受到欺骗。
大多数 NFT 平台都要求用户绑定自己的邮箱,以便用户第一时间知道自己 NFT 的交易状态。因此,邮箱也成为诈骗的聚集地。诈骗者通常伪装成OpenSea平台的公众号,向用户发送钓鱼网站链接,需要修改合约地址或重新认证钱包。近日OpenSea宣布合约升级后,黑客通过这种方式骗取了用户近400万美元的财产。截至本文撰写之日,OpenSea 团队仍在调查受感染用户。
无论黑客使用什么样的精美包装以及语言描述多么混乱,当他最终窃取您的加密资产时,他总是需要一种与您的钱包交互的方式。普通用户可能不具备识别合约风险的能力,但幸运的是,我们还处于一个以 web2.0 为主导的互联网世界。几乎所有的加密合约都需要一个 web2 前端网页来与用户交互。
结果,几乎绝大多数对用户(而不是项目方)的加密资产盗窃都发生在虚假网络钓鱼网站上。一旦您知道如何发现网络钓鱼网站,您就可以避免 99% 的加密盗窃。
对于伴随着智能手机长大的 Z 世代来说,他们生活在一个又一个应用创造的“生态”中,他们可能忽略了对网页这个旧事物的理解。web2时代,DNS域名系统赋予每个网站在全网唯一的身份。了解域名组成的基本规则就足以应对几乎所有的假冒钓鱼网站。
在传统的DNS域名中,域名层次分为三个层次。从第一个分隔符 (/) 开始从右到左读取,每个句点分隔一个级别。以opensea为例,“.io”与“.com”、“.cn”等类似,称为顶级域名,该字段不能自定义. “opensea”被称为二级域名,即域名的主体。该字段不能在同一个顶级域名(如.io)下重复。“www”部分为三级域名,网站运营者可自行设置。甚至运营商也可以在“www”前继续添加四级域名和五级域名。
域名的层次顺序是违反直觉的:从右到左,层次逐渐递减。这种设计与大多数人的阅读习惯完全相反,也让攻击者占了上风。例如,opensea.io.example.com 与 opensea 地址高度相似,但它的实际域名是“example.com”而不是“opensea.io”。
Web3 是否仍然存在网络钓鱼攻击很难预测。但在 Web2 世界中,DNS 域名系统保证了域名(或 URL)的唯一性,如果域名是真实的,用户几乎不可能打开假网站。
加密钱包不像 Web2 电子邮件帐户。无法修改或检索私钥和助记词。一旦泄露,就意味着钱包将属于你和黑客。您钱包中的所有资产都可以随时被黑客转移。并且由于Ethereum地址的匿名性,你无法查明黑客是谁,损失无法挽回,钱包也无法再使用。
如果您在诈骗网站上对钱包进行了授权,您可以及时到以下三个地址查看钱包授权并及时取消:
etherscan.io/tokenapprovalchecker
revoke.cash/
debank.com/
文章转发自NFT反作弊指南:不能便宜黑客,版权归其所有。文章内容不代表本站立场和任何投资暗示。
本页仅为NFT资讯品牌金店挂牌金价;
工费另计,单位:元/克,具体以门店为准。