NFT被盜層出不窮,如何看好你的小錢錢
Joann
“我不需要知道傑瑞是誰,在網絡上做生意,你相信的就是網絡上的小面板,剝掉面板,你就知道這玩意實際上有多脆弱,而事實上在那網站後面操作的真人,他們才是你需要信任的人。“
——《別相信任何人:虛擬貨幣懸案》
NFT CHEATING
引言這段話出自Netflix的自製紀錄片《別相信任何人:虛擬貨幣懸案》,故事劇情講述的是加拿大最大的加密貨幣交易所QuadrigaCX 的首席執行官格裡·科滕離奇死亡後,他將2.5 億美元客戶資金的密碼帶進了墳墓。
而一群驚恐的投資者拒絕接受官方的說法。他們認為,格裡的“死亡”具有“金蟬脫殼”的所有特徵,即他還活著,並且已經帶著他們的錢跑路了。這是一個驚心動魄的故事,他們的調查將帶觀眾走進一個黑暗世界,在這裡,一切人和事都諱莫如深......
其實web3的世界裡,被盜幾乎每天都在上演,甚至已經成了家常變法,而根據成都鏈安統計,光今年上半年NFT被盜的主要安全事件就有十多起,這十來起案件造成的損失將近7000萬美元,而截止到今年7月,如果大大小小的被盜事件全都算上,就有價值超過了1億美元的NFT被盜,在這個熊了又熊的市場,似乎只有黑客在“0元購”賺的盆滿缽滿。
不過有句老話說的好,前事不忘後事之師,不如今天就和大家一起盤點一下有哪些著名的NFT被盜事件以及如何才能看好你的小錢錢。
NFT被盜事件盤點
NFT CHEATING CASES
1、TreasureDAO盜了又還事件
2022年3月3日,TreasureDAO交易平台遭到黑客攻擊,造成100多個NFT 被盜。不過在事件發生幾小時後,攻擊者卻開始歸還被盜NFT(真是讓人看不懂)
2、APE Coin空投閃電貸套利事件
2022年3月17日,根據twitter用戶Will Sheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APE Coin(每個價值8美元,總共價值50多萬美金)。
3、NBA薅羊毛事件
用戶繞開官網,直接通過matemask 用別人已經產生的16 進制Input Data 與合約直接交互。此外利用合約對於mint 的白名單校驗漏洞進行了簽名的冒用和復用,據說最多的直接freemint了100個,按照當時單個0.4ETH的地板價也有一百來萬了。
4、Akutar合約鎖死事件
2022年4月23日,NFT項目方Akutar的AkuAuction合約由於智能合約本身漏洞,導致11539ETH(價值約3400萬美元)被鎖死在合約中。
5、XCarnival被黑客攻擊事件
2022年6月24日,NFT 借貸協議XCarnival 遭到攻擊,黑客獲利3087 枚eth(約380 萬美元)。
不過就在攻擊發生後不久,XCarnival攻擊者已經返還1467枚ETH給項目方,因為上午XCarnival官方表示在攻擊者退還盜取資金的前提下將給予攻擊者1500枚ETH的賞金,並明確免除對此人的法律訴訟。
6、周傑倫NFT被盜事件
2022年4月1日(真的不是愚人節玩笑),周傑倫因為誤點了discord的釣魚鏈接,導致當時價值50萬美元的BAYC#3738被盜,這一事件引起眾多網友的討論。
看完了上面的被盜案件,說實話我已經快不認識數字了,動不動就是幾十上百萬美金,隨著“0元購”事件的花樣百出,我們需要防範的黑客攻擊除了技術層面的各種釣魚鏈接,甚至還有某些不講武德的項目方監守自盜,賺點錢可真是不容易,為此,下面總結了到底有哪些詐騙手段和防盜指南,以期給大家帶來一點小小的幫助。
詐騙手段知多少
CHEATING WAYS
1、通過Discord 私信詐騙網站鏈接
Discord 私信鏈接是是黑客常用的行騙手段,黑客往往會通過Discord 不同的社區批量私信成員,或是冒充社區管理員以幫忙解決問題為由私信用戶,騙取錢包私鑰。或者發送虛假的釣魚網站,告訴用戶可以免費領取NFT 等等。用戶一旦授權給黑客仿造的虛假網站,那麼將會給用戶帶來巨大的虧損。
2、攻擊Discord 服務器
Discord 服務器被黑客攻擊幾乎是每一個火爆的NFT 項目都會經歷的事情,黑客會攻擊服務器管理員的賬號,之後在服務器的各個頻道發布假公告,騙社區成員去黑客早就搭建好的假網站購買假的NFT。而如今的黑客會通過發送詐騙網站等方式騙取服務器管理員的token,這樣即使管理員開啟2FA 雙重認證也無濟於事。而如果黑客搭建的詐騙網站會要求用戶錢包的授權,則會給用戶帶來更加嚴重的財產損失。
3、發送假的交易鏈接
這類騙術常見於騙子與用戶私下磋商的NFT 交易過程。Sudoswap、NFTtrader 等交易平台鼓勵用戶通過私下磋商的方式「交換」彼此的NFT 或token,而這些平台也為私下磋商成的交易提供了安全保障,這對於NFT 市場來說本是一件好事,但如今有黑客開始通過仿造的Sudoswap、NFTtrader 網站進行詐騙。
Sudoswap、NFTtrader 在磋商完成後需要用戶發起一筆交易,這一步驟會生成一個訂單確認網站,雙方確認後交易會通過智能合約自動進行。騙子在一開始會假裝與你商議交換哪些NFT,並先為你展示一個真的網站鏈接,隨後提出對交易進行修改,在交易者放鬆警惕後,騙子會發送一個詐騙鏈接,用戶點擊確認交易後,錢包中對應的NFT 便會被發送至騙子的錢包中。
4、騙取助記詞
騙子會通過各種手段誘導用戶將私鑰或助記詞發送給自己,比如搭建詐騙網站、假裝自己是來幫助用戶的管理員等,種種行為均是為了降低用戶的警惕,伺機騙走私鑰和助記詞。
5、創建假的Collection,在項目的Discord 公開頻道尋求交易
虛假NFT 合集是在很多熱門項目發售前最容易遇到的。當NFT 盲盒正式上線前,騙子會提前在OpenSea 等NFT 交易平台上傳名稱類似的NFT 合集,並且提前通過官方釋放出的信息精美的「裝修」好這個合集。真正的NFT 合集在沒上線的情況下,用戶優先會搜索到名字最為接近的合集。有些騙子為了讓用戶相信還會製造幾筆交易,給當前掛單的假冒NFT 發送Offer 出價。
為了節省平台和項目方的版稅抽成,社區成員之間會進行私下交易,除了上文所談到的通過仿造Sudoswap、NFTtrader 網站之外,也有騙子通過在社區頻道發送略低於地板價的假NFT 合集鏈接。用戶往往會在急於搶購低於地板價NFT 時忽略了NFT 的真實性從而受騙。
6、假郵件
大部分的NFT 平台都會要求用戶綁定郵箱,以方便用戶能夠第一時間知道自己NFT 的交易情況,因此郵箱也成為了詐騙氾濫的聚集地。騙子通常會偽裝成OpenSea 平台的官方賬號,以合約地址需要修改或錢包需要重新驗證等方式向用戶發送釣魚網站鏈接。
防盜指南送給你
ANTI CHEATING GUIDE
1、 務必務必甄別好你點進去的每一個網址
無論黑客採用何種天花亂墜的包裝,和如何令你意亂神迷的語言描述,在最終他盜走你的加密資產之時,始終需要一個和你的錢包發生交互的途徑。普通用戶或許不具備辨別合約風險的能力,但幸運的是,我們至今仍處在一個web2 所主導的互聯網世界。幾乎所有的加密合約都需要藉助一個web2 的前端網頁來和用戶交互。
因此,幾乎絕大多數面向用戶(而非項目方)的加密資產盜竊都是發生在仿冒的釣魚網站之上。而一旦了解瞭如何鑑別釣魚網站,將足以幫你避開99% 的加密資產盜竊。
2、看好你的私鑰或助記詞
在我初入區塊鏈的時候,我的前老闆就和我強調過,私鑰和助記詞,用筆記在本子上,不要聯網存儲,更不能存在手機備忘錄或者截圖保存,不然隨時都有被盜風險。
因為你的數字錢包不像Web2 的電子郵件等賬戶,私鑰與助記詞無法修改、找回,一旦洩露就意味著這個錢包將同時歸屬於你與黑客,你錢包內所有的資產都可以隨時被黑客轉移,而由於以太坊地址的匿名性,你也無法查明黑客到底是誰,損失自然也無法追回,這個錢包也不能再繼續使用。
3、及時取消錢包授權
10月初發生的錢包被盜事件是黑客通過閃兌平台Transit Swap的合約漏洞,盜走了用戶的錢包餘額。
玩家在使用錢包交互時,一個freemint或參與新項目,可能當下合約無異常,但合約背後還有哪些授權,就不知道了,這些都是安全隱患。
及時檢查錢包授權信息,定期取消不再交互的合約授權,減少安全隱患。
如果你已經在詐騙網站授權錢包,可以及時前往以下三個地址檢查錢包授權情況並及時取消:
https://etherscan.io/tokenapprovalchecker
https://revoke.cash/
https://debank.com/
4、多個錢包並且存有大額資金的錢包不做任何交互
都知道在區塊鏈的世界裡,十倍百倍乃至千倍隨時都是有可能的,你永遠都不知道也許隨手買入或者mint的項目,會不會火箭式攀升,但是在領空投時,隨手多註冊一個新錢包,不麻煩卻保險,畢竟辛辛苦苦大半年,一朝全讓黑客捲走最後資產歸零,咱也沒那個本事像幣安一樣把網線拔了
雖說只有千日做賊的,沒有千日防賊的,但是在市場熊了又熊的情況下,每一筆資產都無比的珍貴,所以關注QA元宇宙,學會看好你的小錢錢
借錢好夥伴想了解借錢知識,線上借錢找速借網,當鋪 ,車貸等各種服務都有。私人借款 借貸服務,小額週轉,找安貸網。銀行貸款,融資周轉,紓困服務找立借網。
分享到Line