昨天一则周杰伦持有的BAYCNFT#3738被盗的消息迅速被传播至各个加密社群,后续还爆出周杰伦持有的一枚MAYC和两枚Doodles同样被盗,这一则则消息敲响了加密用户对于保护好自己NFT的警钟。
事情的起因究竟是什么能让华语流行音乐天王周杰伦中招呢?发生了这一系列的事件,该如何保护好自己的NFT?想必大家同时都带有疑问。那么,接下来就为大家梳理一下事情的经过,还有教大家如何保护好自己的宝贵NFT资产。
昨日大事件
在周杰伦的NFT账户被盗了一个小时之后,一家专注区块链生态安全的公司—慢雾安全团队经过分析发现,周杰伦疑似被钓鱼攻击,其钱包地址(0x71de2...e97a1)在11:02签名了授权(Approve)交易,将NFT的权限授予了攻击者钱包(0xe34f0...072da),然后攻击者在11:07将无聊猿BAYC#3738NFT转移到自己的钱包地址中。与此同时,还有另外两个钱包地址的NFT也被盗以及一个钱包地址的ApeCoin被盗。攻击者得手之后,在LooksRare和OpenSea上将盗取的NFT卖掉,获得了约169.6ETH。目前资金停留在0x6E85C...85b15地址上。
周董事件过去的两个小时后,PeckShieldAlert发推称,BAYCDiscord账号遭受攻击,MutantApeYachtClub(MAYC)#8662已经被盗,起因也是黑客利用机器人账号在频道内发布了虚假链接。但是被盗的不仅仅是BAYC而已,在下午四点根据各个项目官方消息显示,Doodles、Nyoki、Shamanz、Zooverse、Dreadfuls、FreakyLabs、Kaijukingz都均被黑客攻击。此外,验证机器人Captcha源代码已泄露,私信工具Tickettool已遭到攻击,并因此回滚至上一个安全版本。
目前事情已经告一段落,在此次事件中一切都是源于点击了钓鱼链接,在很多常见的诈骗行为中,点击钓鱼链接被骗也是居多的。骗子利用几乎一模一样的页面,让当事人掉以轻心,一步一步的走向了骗子的圈套,所以大家之后点击链接之前一定要核对清楚,谨防上单受骗。
(诈骗案例)
区块链和NFT提供了自主权,但这也意味着我们要对我们的资产负责—因为没有银行在监管它们。在这个时候,了解不同类型的骗局将有助于确保我们的NFT的安全,话不多说,我们开始吧。
诈骗的类型
虚假页面
NFTAnti-TheftGuide
通常在备受期待的NFT推出期间,会出现许多OpenSea页面,随着FOMO的渗透和时间的流逝,许多收藏家未能采取额外的步骤来验证资产的铸造来源。随之而来的是非法收藏品与NFT一起从OpenSea中删除,但诈骗者仍然拥有买家的钱。这最近发生在PunksComic中,许多人被诱骗从OpenSea页面铸造,损失了数百美元。
在这个时候需要采取的措施是:第一,切勿点击无法验证的连接;第二,仔细检查域名链接—一个诈骗网站通常可以通过一个不同的字符来区分;最后一点,要第一时间访问作品的官网、Twitter、Discord,确认你正在铸造经过验证的连接。
虚假空投
NFTAnti-TheftGuide
由于区块链上存在NFT,所以你的地址对所有人都是公开的,你的一举一动也是如此。这意味着任何人都可以与你的账户进行交互,他们可以将NFT作为礼物发送到你的钱包—也就是空投。诈骗者通常会将NFT发送到你的钱包,让你与他们互动并了解你的个人详细信息,因此最好不要与任何新的NFT互动,除非你已经验证了其来源。
假冒账户
NFTAnti-TheftGuide
在这其中,诈骗者会将知名的NFTKOL推特账户进行一个1:1的复制,然后利用知名KOL的身份去行骗,其中一些虚假账户通过购买虚假粉丝达到更完美的诈骗。在这个时候,一定要仔细检查推特账户和关注的人,查出是假冒的可以向推特进行举报。
骗取助记词
NFTAnti-TheftGuide
骗子会通过各种手段诱导用户将私钥或助记词发送给自己,比如搭建诈骗网站、假装自己是来帮助用户的管理员等,种种行为均是为了降低用户的警惕,伺机骗走私钥和助记词
通过Discord私信诈骗网站链接
NFTAnti-TheftGuide
Discord私信链接是是黑客常用的行骗手段,黑客往往会通过Discord不同的社区批量私信成员,或是冒充社区管理员以帮忙解决问题为由私信用户,骗取钱包私钥。或者发送虚假的钓鱼网站,告诉用户可以免费领取NFT等等。用户一旦授权给黑客仿造的虚假网站,那么将会给用户带来巨大的亏损。
虚假链接
NFTAnti-TheftGuide
诈骗者会将虚假的OpenSea消息发送到人们的电子邮件中,要求收件人点击“查看”按钮。这些链接通常会将您带到一个虚假页面,询问你的钱包和助记词。Discord上也有类似的骗局,一旦诈骗者获得你的信息,他们会将你的所有资产转移到另一个钱包并出售它们,并且无法阻止。今天爆发的事件就是如此。
最后许多骗子会以低价出售NFT,而可疑的买家可能只是将它们收入囊中,而不是询问卖家是如何获得它们的。有时社区的努力可以帮助阻止这一点,但并非总是如此。
NFT
资产保护指南
以上只是众多骗术中最常见的而已,骗子无孔不入,利用各种漏洞来攻击盗取加密资产,所以大家千万要保护好。对此,总结了如何保护加密资产的更多办法。
在点击链接之前,请确保你已经验证了它们—千万不要随便点击来由不明的随机链接或损坏的链接;
在铸造任何东西之前,请务必检查合约地址,该地址应指定NFT的铸造地点,如果它在OpenSea上得到验证,那么它就是安全合法的;
永远不要和任何人分享你的恢复短语,让你的助记词远离你的手机和电脑(一切有网络的地方)—应该以物理方式存储它们,并且安全的地方存放多份副本;
对于许多人来说,由于机器人和骗子的滥用,关闭DiscordDM会更加安全;
使用诸如Ledger或Trezor之类的硬件钱包—这些冷钱包是离线的,所以除了你之外没有人可以通过你的私钥访问它。
避免与陌生人交谈,关闭DMs(DirectMessages)
简单明了。我们不要通过直接信息(DMs)与陌生人交谈。Discord和Twitter都能让你在公开场合与陌生人互动,在私下交谈之前先结识陌生人。所以为了您的安全和理智,最好关闭DiscordDMs。从个人经验来看,其中大部分要么是垃圾邮件,要么是骗局。您可以通过进入相应Discord服务器中的隐私设置轻松关闭DiscordDMs,如下所示:
一旦你关闭DMs,只有那些你在Discord上添加为好友的用户才能向你发送私人消息。其他人都被封锁了。
提防Discord和Twitter上的虚假铸造网站
因为这些网站实在是太多了,因此你必须小心你点击的内容。假网站看起来和真网站一模一样,但当你试图铸造时,你的钱包安全可能会受到威胁,你的资产可能会被抹去。每个合法的Discord服务器都有一个官方链接频道(如下所示),您必须使用那里的链接。我甚至不会盲目相信主聊天室中人们共享的链接。
类似地,总是从项目的官方Twitter账户的简介中获取链接,如下所示。同时通过查看粉丝数量和相关推文,警惕虚假推特账户。
永远不要和陌生人分享你的屏幕
屏幕分享在企业界很常见。人们一直共享屏幕,讨论演示文稿、技术问题或协作工作。但是,在加密和NFT领域是不同的。骗子可以操纵你分享你的秘密恢复短语,这会损害你的加密钱包,并允许任何人出售你的资产。以下是一位经验丰富的NFT收集者和交易者在Twitter上发布的帖子,他在一次不幸的事件中损失了约250ETH(约合100万美元),因为一个被社会操纵的骗局要求他与骗子共享屏幕。
他以为自己是在和一个很受欢迎的NFT项目——BAYC创始人交谈,但实际上,他是在和一群冒充创始人欺骗他的陌生人交谈。这就引出了下一点。
小心伪造账户
骗子经常通过模仿有影响力的人来获得信任,并让你做一些你永远不会做的事情。如果你阅读了上图发出的推特帖子,你就会意识到社交骗子的忽悠能力程度。如果你没有意识到和警惕,你可能会措手不及。我是几个流行的NFT项目服务器的Discord版主/管理员。人们甚至试图冒充我来欺骗无辜的人。这里有一个例子,骗子将自己伪造成创作者向人们发送私人信息(DMs)来欺骗他们。
永远不要落入这样的陷阱。没有人会因为不和谐的信息给你25000美元。如果某件事太好而不显示的不那么真实,那么它应该就不是真的。
永远不要和任何人分享你的恢复短语(RecoveryPhrase)
这听起来很简单,但人们总是在兴奋或无知中犯下这个错误。人们经常会忽略Metamask钱包上的说明,其中明确指出,你不能与任何人分享你的恢复短语。分享你的秘密恢复短语就像分享你的信用卡号码和CVV。永远不要与任何人分享,即使是网站的客户支持。
通常,人们会在电脑上的电子邮件或记事本中存储恢复短语。毕竟,我们热爱一切数字产品,甚至是存储设备。但在你的电脑或电子邮件遭到黑客攻击的罕见事件中,你的秘密短语也会被泄露,从而危及你的钱包。所以,应该把你的恢复短语写在一张纸或笔记本上,并确保没有其他人可以使用它。
把你的钱包放在一个你不用来浏览其他网站的系统上
网络安全对于加密钱包安全和资产安全至关重要。我没有在手机上安装钱包,因为我们经常在手机上冲浪和点击太多链接。有人在WhatsApp、Telegram、Discord或任何其他社交媒体平台上发送链接,我们立即有了打开它的冲动。这可能是一个恶意链接,可能会损害你的钱包。
同时不要在电脑上安装不合法或来源不可靠的软件。它包括盗版游戏、洪流、色情或任何其他不安全的网站。此外,不要让你的父母、亲戚、朋友和孩子使用你带有钱包的电脑。他们可能会打开或单击不应该打开的链接。
总的来说,避免这一切的最简单方法是保持警惕,为NFT和加密相关的工作使用单独的系统。避免在钱包所在的系统上使用社交媒体和其他浏览活动。
始终仔细检查电子邮件里链接和OpenSea提供的通知或者服务
OpenSea等市场交易所通常会在您收到报价时发送电子邮件通知。骗子利用这些漏洞,发送假冒这些热门市场的虚假链接。下面是一条推特帖子,详细介绍了其中一个骗局。
与任何其他网络诈骗一样,始终要小心电子邮件中的链接。检查发件人的电子邮件是一种很好的做法。任何合法的市场都不会通过@gmail或Hotmail地址发送电子邮件。如果有任何东西看起来可疑,它很可能是可疑的,你必须小心你打开的链接。记住,不要在任何地方输入种子短语(SeedPhrase)或恢复密钥。它从来都不是必需的。
骗子通常会为一个流行的藏品制作相同的复制品,并诱骗你购买它们。所以在进行任何购买之前,请确认您购买的是真正的藏品。
在NFT领域一定要始终保持警惕,一个短暂的判断失误可能就意味着钱包里面的资产就会一时间被盗走,大家千万不要掉以轻心。好了,以上就是本期的全部内容,如果还有未列举出来的防骗知识点,欢迎添加微信元宇宙Lab小助手对我们进行投稿补充,让更多的人远离被骗的风险!
当心随机出现的Discord服务器公告
Discord服务器最近经常遭到黑客攻击。随着具有管理员角色的用户受到威胁,骗子就能控制服务器。然后,他们发布公告,声称拥有隐形造币厂或特别限量版造币厂。在这种情况下,人们通常会过度兴奋,让自己的情绪占据主导地位。就连我最近也被“幽灵星系discord”黑客攻击了。如今发生这种事情并不罕见。
如果你看到一个措词和语调奇怪的意外声明,要持怀疑态度,在做出任何决定之前先问问周围的人。不要草率决定,查看Discord服务器或项目的相应Twitter账户上的更多信息。保护你的资产安全是你的责任。
使用硬件钱包,尤其是贵重资产
首先,不要把你所有的加密和NFT资产都放在一个钱包里。把所有的鸡蛋放在一个篮子里是非常危险的,因为一个错误可能会导致巨大的损失。维护不同的钱包并在硬件钱包中保存有价值的资产始终是一个好主意。虽然硬件钱包可能无法让你免于我之前描述的一些社会骗局,但它是存储私钥的最安全的方式,因为它们不易受病毒感染。
此外,一项交易需要多次签名才能获得批准,因此误差幅度要低得多。小编目前用的最多的硬件钱包是Ledger和Trezor。大家可以根据自己的情况去购买适合自己的硬件钱包,但是也请注意,一定要去获得官方认证的买家或者商店购买,以防碰到做过手脚的。
小心地毯拉扯(RugPull)和蜜罐(Honeypots)
现在有太多的冒牌铸造项目,名字看起来可信。在信任任何项目及其网站之前,请确保检查以下信息:
1)该项目在Twitter上有真正的粉丝吗?2)如果他们有大量追随者,人们是否在参与他们的帖子?如今,用机器人或假账户购买粉丝很容易。3)访问他们的Discord服务器,注意主聊天中的参与。4)与团队成员交谈,更多地了解他们和他们的愿景。
最近,在成功推出$ENS和$SOS代币后,骗子会模拟MetaMask的治理代币,而使用蜜罐(即某智能合同),该智能合同允许您购买代币,但不允许您兑现或出售投资。这里是一条关于骗子如何成功完成这一骗局的推特帖子。
骗子通过这个蜜罐从购买的代币中总共欺骗了用户100多万美元。
在谷歌上搜索项目链接时要小心
我们经常在谷歌上搜索我们最喜欢的项目,但必须小心。在官方Twitterbio或Discord服务器上寻找链接总是比较安全的,以确保您使用的是正确的链接。OpenSea市场上流行的项目总是有一个蓝色的复选标记(验证标志),如下图所示。正如你所看到的,有四种不同的狗磅,但只有一种是合法的,并且有一个蓝色的复选标记。
时刻保持警惕和怀疑
不管怎么说,加密和NFT骗局如今非常普遍,时刻保持警惕并相互教育是我们的集体责任。无论是你的朋友还是陌生人,都要对每一次不寻常的遭遇持怀疑态度。
有时,如果我从朋友那里收到一个不寻常的DM,我会在主聊天中标记他们,并询问他们是否发送了消息,以确保我与正确的人交谈。你永远不知道你朋友的不和或推特手柄是否被黑客入侵。所以,对任何看似奇怪的事情都要持怀疑态度,并采取必要的措施保护自己。毕竟,你的加密资产是用你辛苦赚来的积蓄和努力建立起来的。确保不要让别人从你身上偷走它。
最后的想法
如今,骗局猖獗,每天的骗子都在开发创造性和创新的方法来欺骗他人。相互教育和提高意识是我们的集体责任。Web3.0带来了丰厚的机会和改变生活的收获。但这也带来了巨大的风险。甚至我也被欺骗了,因为我没有集中注意力,我让我的情绪为我做决定。所以一定要记住,在Web3.0中没有误差。
