欢迎光临
我们一直在努力

nft被盗层出不穷,如何看好你的小钱钱

币安 欧易 火币

“我不需要知道杰瑞是谁,在网络上做生意,你相信的就是网络上的小面板,剥掉面板,你就知道这玩意实际上有多脆弱,而事实上在那网站后面操作的真人,他们才是你需要信任的人。“

——《别相信任何人:虚拟货币悬案》

引言这段话出自Netflix的自制纪录片《别相信任何人:虚拟货币悬案》,故事剧情讲述的是加拿大最大的加密货币交易所 QuadrigaCX 的首席执行官格里·科滕离奇死亡后,他将 2.5 亿美元客户资金的密码带进了坟墓。

而一群惊恐的投资者拒绝接受官方的说法。他们认为,格里的“死亡”具有“金蝉脱壳”的所有特征,即他还活着,并且已经带着他们的钱跑路了。这是一个惊心动魄的故事,他们的调查将带观众走进一个黑暗世界,在这里,一切人和事都讳莫如深……

其实web3的世界里,被盗几乎每天都在上演,甚至已经成了家常变法,而根据成都链安统计,光今年上半年NFT被盗的主要安全事件就有十多起,这十来起案件造成的损失将近7000万美元,而截止到今年7月,如果大大小小的被盗事件全都算上,就有价值超过了1亿美元的NFT被盗,在这个熊了又熊的市场,似乎只有黑客在“0元购”赚的盆满钵满。

不过有句老话说的好,前事不忘后事之师,不如今天就和大家一起盘点一下有哪些著名的NFT被盗事件以及如何才能看好你的小钱钱。

一、NFT被盗事件盘点

1、TreasureDAO盗了又还事件

2022年3月3日,TreasureDAO交易平台遭到黑客攻击,造成100多个NFT 被盗。不过在事件发生几小时后,攻击者却开始归还被盗NFT(真是让人看不懂)

image.png

2、APE Coin空投闪电贷套利事件

2022年3月17日,根据twitter用户Will Sheehan的报告,套利机器人通过闪电贷薅羊毛,拿到6W多APE Coin(每个价值8美元,总共价值50多万美金)。

image.png

3、NBA薅羊毛事件

用户绕开官网,直接通过 matemask 用别人已经产生的 16 进制 Input Data 与合约直接交互。此外利用合约对于 mint 的白名单校验漏洞进行了签名的冒用和复用,据说最多的直接freemint了100个,按照当时单个0.4ETH的地板价也有一百来万了。

4、Akutar合约锁死事件

2022年4月23日,NFT项目方Akutar的AkuAuction合约由于智能合约本身漏洞,导致11539ETH(价值约3400万美元)被锁死在合约中。

5、XCarnival被黑客攻击事件

2022年6月24日,NFT 借贷协议 XCarnival 遭到攻击,黑客获利 3087 枚eth(约 380 万美元)。

不过就在攻击发生后不久,XCarnival攻击者已经返还1467枚ETH给项目方,因为上午XCarnival官方表示在攻击者退还盗取资金的前提下将给予攻击者1500枚ETH的赏金,并明确免除对此人的法律诉讼。

image.png

6、周杰伦NFT被盗事件

2022年4月1日(真的不是愚人节玩笑),周杰伦因为误点了discord的钓鱼链接,导致当时价值50万美元的BAYC#3738被盗,这一事件引起众多网友的讨论。

image.png

看完了上面的被盗案件,说实话我已经快不认识数字了,动不动就是几十上百万美金,随着“0元购”事件的花样百出,我们需要防范的黑客攻击除了技术层面的各种钓鱼链接,甚至还有某些不讲武德的项目方监守自盗,赚点钱可真是不容易,为此,下面总结了到底有哪些诈骗手段和防盗指南,以期给大家带来一点小小的帮助。

二、诈骗手段知多少

1、通过 Discord 私信诈骗网站链接

Discord 私信链接是是黑客常用的行骗手段,黑客往往会通过 Discord 不同的社区批量私信成员,或是冒充社区管理员以帮忙解决问题为由私信用户,骗取钱包私钥。或者发送虚假的钓鱼网站,告诉用户可以免费领取 NFT 等等。用户一旦授权给黑客仿造的虚假网站,那么将会给用户带来巨大的亏损。

2、攻击 Discord 服务器

Discord 服务器被黑客攻击几乎是每一个火爆的 NFT 项目都会经历的事情,黑客会攻击服务器管理员的账号,之后在服务器的各个频道发布假公告,骗社区成员去黑客早就搭建好的假网站购买假的 NFT。而如今的黑客会通过发送诈骗网站等方式骗取服务器管理员的 token,这样即使管理员开启 2FA 双重认证也无济于事。而如果黑客搭建的诈骗网站会要求用户钱包的授权,则会给用户带来更加严重的财产损失。

3、发送假的交易链接

这类骗术常见于骗子与用户私下磋商的 NFT 交易过程。Sudoswap、NFTtrader 等交易平台鼓励用户通过私下磋商的方式「交换」彼此的 NFT 或 token,而这些平台也为私下磋商成的交易提供了安全保障,这对于 NFT 市场来说本是一件好事,但如今有黑客开始通过仿造的 Sudoswap、NFTtrader 网站进行诈骗。

Sudoswap、NFTtrader 在磋商完成后需要用户发起一笔交易,这一步骤会生成一个订单确认网站,双方确认后交易会通过智能合约自动进行。骗子在一开始会假装与你商议交换哪些 NFT,并先为你展示一个真的网站链接,随后提出对交易进行修改,在交易者放松警惕后,骗子会发送一个诈骗链接,用户点击确认交易后,钱包中对应的 NFT 便会被发送至骗子的钱包中。

image.png

4、骗取助记词

骗子会通过各种手段诱导用户将私钥或助记词发送给自己,比如搭建诈骗网站、假装自己是来帮助用户的管理员等,种种行为均是为了降低用户的警惕,伺机骗走私钥和助记词。

image.png

5、创建假的 Collection,在项目的 Discord 公开频道寻求交易

虚假 NFT 合集是在很多热门项目发售前最容易遇到的。当 NFT 盲盒正式上线前,骗子会提前在 OpenSea 等 NFT 交易平台上传名称类似的 NFT 合集,并且提前通过官方释放出的信息精美的「装修」好这个合集。真正的 NFT 合集在没上线的情况下,用户优先会搜索到名字最为接近的合集。有些骗子为了让用户相信还会制造几笔交易,给当前挂单的假冒 NFT 发送 Offer 出价。

为了节省平台和项目方的版税抽成,社区成员之间会进行私下交易,除了上文所谈到的通过仿造 Sudoswap、NFTtrader 网站之外,也有骗子通过在社区频道发送略低于地板价的假 NFT 合集链接。用户往往会在急于抢购低于地板价 NFT 时忽略了 NFT 的真实性从而受骗。

6、假邮件

大部分的 NFT 平台都会要求用户绑定邮箱,以方便用户能够第一时间知道自己 NFT 的交易情况,因此邮箱也成为了诈骗泛滥的聚集地。骗子通常会伪装成 OpenSea 平台的官方账号,以合约地址需要修改或钱包需要重新验证等方式向用户发送钓鱼网站链接。

三、防盗指南送给你

1、 务必务必甄别好你点进去的每一个网址

无论黑客采用何种天花乱坠的包装,和如何令你意乱神迷的语言描述,在最终他盗走你的加密资产之时,始终需要一个和你的钱包发生交互的途径。普通用户或许不具备辨别合约风险的能力,但幸运的是,我们至今仍处在一个 web2 所主导的互联网世界。几乎所有的加密合约都需要借助一个 web2 的前端网页来和用户交互。

因此,几乎绝大多数面向用户(而非项目方)的加密资产盗窃都是发生在仿冒的钓鱼网站之上。而一旦了解了如何鉴别钓鱼网站,将足以帮你避开 99% 的加密资产盗窃。

2、看好你的私钥或助记词

在我初入区块链的时候,我的前老板就和我强调过,私钥和助记词,用笔记在本子上,不要联网存储,更不能存在手机备忘录或者截图保存,不然随时都有被盗风险。

因为你的数字钱包不像 Web2 的电子邮件等账户,私钥与助记词无法修改、找回,一旦泄露就意味着这个钱包将同时归属于你与黑客,你钱包内所有的资产都可以随时被黑客转移,而由于以太坊地址的匿名性,你也无法查明黑客到底是谁,损失自然也无法追回,这个钱包也不能再继续使用。

image.png

3、及时取消钱包授权

10月初发生的钱包被盗事件是黑客通过闪兑平台Transit Swap的合约漏洞,盗走了用户的钱包余额。

玩家在使用钱包交互时,一个freemint或参与新项目,可能当下合约无异常,但合约背后还有哪些授权,就不知道了,这些都是安全隐患。

及时检查钱包授权信息,定期取消不再交互的合约授权,减少安全隐患。

如果你已经在诈骗网站授权钱包,可以及时前往以下三个地址检查钱包授权情况并及时取消:

4、多个钱包并且存有大额资金的钱包不做任何交互

都知道在区块链的世界里,十倍百倍乃至千倍随时都是有可能的,你永远都不知道也许随手买入或者mint的项目,会不会火箭式攀升,但是在领空投时,随手多注册一个新钱包,不麻烦却保险,毕竟辛辛苦苦大半年,一朝全让黑客卷走最后资产归零,咱也没那个本事像币安一样把网线拔了。

虽说只有千日做贼的,没有千日防贼的,但是在市场熊了又熊的情况下,每一笔资产都无比的珍贵。以上就是小编为大家带来的全部内容,想要了解更多NFT资讯,欢迎关注NFT中国资讯站。

赞(0)
文章内图片及文字内容均来源于网络,转载自其它媒体,并不代表本网站赞同其观点,不对其准确性、真实性负责。不作为投资建议。版权归原作者所有,如有侵权,可与本网站联系删除。链分享 » nft被盗层出不穷,如何看好你的小钱钱
分享到: 更多 (0)
广告也精彩

评论 抢沙发

评论前必须登录!