文章來源:律動研究院,NFTLabs原文標題:《請把這份NFT防盜指南轉發給周杰倫》Crypto的世界如同黑暗森林,你的身邊可能潛藏著無數危機。前幾日,就有黑客趁著OpenSea合約升級之時,給所有用戶的郵箱發送了一條釣魚郵件,而不少用戶錯把其當作官方郵件而將自己的錢包授權,進而導致錢包被盜。據統計,這一條郵件至少導致3個BAYC、37個Azuki、25個NFTWorlds等NFT被盜,按照地板價計算,黑客收入便已高達416萬美元。
而就在今天,周杰倫持有的1枚MAYC和兩枚Doodles相繼被盜;頂級NFT項目BAYC和Doodles的Discord社區同時被黑客入侵,目前黑客造成的損失尚未確定。
如今,我們需要防范的黑客攻擊不僅僅存在于技術層面,還來自社會工程學,再加上眾多NFT項目的價格水漲船高,稍不留神便會損失巨額資產。鑒于最近NFT領域詐騙頻發,律動總結了幾類常見的詐騙手段,希望廣大讀者時刻提高警惕,不要上當受騙。
Acala社區投票通過“ACA釋放升級”提案:6年內每年排放1億枚ACA:8月14日消息,波卡DeFi平臺Acala有關“ACA釋放升級”的提案已獲社區投票通過。
該提案系Acala 2.0 Exodus升級的一部分,提議每年釋放1億枚ACA,期限為6年。具體釋放每月都會發生,釋放量的分配需要后續投票,將從6月份升級獲批開始追溯,目標執行日期為8月15日(區塊4238700)。銷毀方案將包含在下一次runtime升級中。[2023/8/14 16:25:04]
詐騙手段:
1、通過Discord私信詐騙網站鏈接
Discord私信鏈接是是黑客常用的行騙手段,黑客往往會通過Discord不同的社區批量私信成員,或是冒充社區管理員以幫忙解決問題為由私信用戶,騙取錢包私鑰。或者發送虛假的釣魚網站,告訴用戶可以免費領取NFT等等。用戶一旦授權給黑客仿造的虛假網站,那么將會給用戶帶來巨大的虧損。
日本全日空航空公司開始銷售航空主題NFT藏品:5月30日消息,日本全日空航空公司官網宣布,通過其子公司ANA Neo開展與航空有關的非同質化代幣(NFT)業務。商品將在全日空NFT藏品頁面下銷售,航空攝影師Luke Ozawa的數字作品的NFT藏品為首批商品。該航空公司在聲明中表示:“全日空集團將把NFT應用于航空業,并促進業務發展。”[2023/5/30 11:48:22]
2、攻擊Discord服務器
Discord服務器被黑客攻擊幾乎是每一個火爆的NFT項目都會經歷的事情,黑客會攻擊服務器管理員的賬號,之后在服務器的各個頻道發布假公告,騙社區成員去黑客早就搭建好的假網站購買假的NFT。而如今的黑客會通過發送詐騙網站等方式騙取服務器管理員的token,這樣即使管理員開啟2FA雙重認證也無濟于事。而如果黑客搭建的詐騙網站會要求用戶錢包的授權,則會給用戶帶來更加嚴重的財產損失。
報告:亞洲游戲玩家占據80%的Web3游戲市場:金色財經報道,根據DappRadar與日本加密貨幣公司Pacific Meta聯合進行的一項研究,預計亞洲游戲玩家將占據Web3游戲市場的絕大部分。該研究發現,亞洲已經擁有17億玩家,占全球游戲人口的55%,并且可能占所有Web3游戲玩家的80%。
報告還顯示,總計1000名受訪者中有40%的人了解區塊鏈游戲;在了解此類游戲的人中,近57%的人表示Web3游戲“看起來很有趣”,而只有大約10%的人表示它們看起來很無聊。[2023/4/14 14:02:25]
3、發送假的交易鏈接
這類騙術常見于騙子與用戶私下磋商的NFT交易過程。Sudoswap、NFTtrader等交易平臺鼓勵用戶通過私下磋商的方式「交換」彼此的NFT或token,而這些平臺也為私下磋商成的交易提供了安全保障,這對于NFT市場來說本是一件好事,但如今有黑客開始通過仿造的Sudoswap、NFTtrader網站進行詐騙。
蒂芙尼NFT“NFTiff”已連續3日無任何交易:金色財經報道,據nftgo數據顯示,自8月14日開始,蒂芙尼NFT“NFTiff”已連續3日無任何交易,此前最后一次交易發生在8月13日,當日交易額為134,977.29美元。截至目前,“NFTiff”交易總額為356萬美元,地板價為59 ETH,市值達到2766萬美元。[2022/8/17 12:29:48]
Sudoswap、NFTtrader在磋商完成后需要用戶發起一筆交易,這一步驟會生成一個訂單確認網站,雙方確認后交易會通過智能合約自動進行。騙子在一開始會假裝與你商議交換哪些NFT,并先為你展示一個真的網站鏈接,隨后提出對交易進行修改,在交易者放松警惕后,騙子會發送一個詐騙鏈接,用戶點擊確認交易后,錢包中對應的NFT便會被發送至騙子的錢包中。
4、騙取助記詞
騙子會通過各種手段誘導用戶將私鑰或助記詞發送給自己,比如搭建詐騙網站、假裝自己是來幫助用戶的管理員等,種種行為均是為了降低用戶的警惕,伺機騙走私鑰和助記詞。
數字銀行YAP完成4100萬美元融資,Aljazira Capital等參投:7月4日消息,數字銀行YAP宣布完成4100萬美元融資,本輪融資由Aljazira Capital、Abu Dawood Group、Astra Group和Audacia Capital等參投。據悉,本輪融資是該公司A輪融資的一部分,他們計劃在年底前再籌集大約2000萬美元。
據悉,YAP是阿聯酋首個獨立數字銀行平臺,目前已在巴基斯坦獲得EMI(電子貨幣機構)許可證、在加納和沙特阿拉伯獲得PSP(支付服務提供商)許可證。(The Economic Times)[2022/7/4 1:50:01]
5、創建假的Collection,在項目的Discord公開頻道尋求交易
虛假NFT合集是在很多熱門項目發售前最容易遇到的。當NFT盲盒正式上線前,騙子會提前在OpenSea等NFT交易平臺上傳名稱類似的NFT合集,并且提前通過官方釋放出的信息精美的「裝修」好這個合集。真正的NFT合集在沒上線的情況下,用戶優先會搜索到名字最為接近的合集。有些騙子為了讓用戶相信還會制造幾筆交易,給當前掛單的假冒NFT發送Offer出價。
為了節省平臺和項目方的版稅抽成,社區成員之間會進行私下交易,除了上文所談到的通過仿造Sudoswap、NFTtrader網站之外,也有騙子通過在社區頻道發送略低于地板價的假NFT合集鏈接。用戶往往會在急于搶購低于地板價NFT時忽略了NFT的真實性從而受騙。
6、假郵件
大部分的NFT平臺都會要求用戶綁定郵箱,以方便用戶能夠第一時間知道自己NFT的交易情況,因此郵箱也成為了詐騙泛濫的聚集地。騙子通常會偽裝成OpenSea平臺的官方賬號,以合約地址需要修改或錢包需要重新驗證等方式向用戶發送釣魚網站鏈接。近日OpenSea在公布合約升級之后,黑客便是以這種方式騙取用戶財產近400萬美元。截止撰稿日期,OpenSea團隊仍然在排查受損用戶。
防騙指南
1、網址甄別
無論黑客采用何種天花亂墜的包裝,和如何令你意亂神迷的語言描述,在最終他盜走你的加密資產之時,始終需要一個和你的錢包發生交互的途徑。普通用戶或許不具備辨別合約風險的能力,但幸運的是,我們至今仍處在一個web2所主導的互聯網世界。幾乎所有的加密合約都需要借助一個web2的前端網頁來和用戶交互。
因此,幾乎絕大多數面向用戶的加密資產盜竊都是發生在仿冒的釣魚網站之上。而一旦了解了如何鑒別釣魚網站,將足以幫你避開99%的加密資產盜竊。
對于伴隨著智能手機成長起來的Z世代來說,他們生活在一個又一個App營造的「生態」之中,對于Web網頁這個陳舊的事物或許已經疏于了解了。在web2時代,DNS域名系統為每一個網站賦予了全網唯一的身份標識,了解域名構成的基本規則,將足以應對幾乎全部的虛假釣魚網站。
在傳統的DNS域名中,域名層級分為三級。從第一個分隔符開始從右至左閱讀,每個句號分隔開一個層級。以https://www.opensea.io/為例「。io」和「。com」、「。cn」等類似,被稱為頂級域名,該字段不可自定義。「opensea」被稱為二級域名,也即域名的主體,同一頂級域名下該字段不可重復。「www」部分則為三級域名,該字段網站運營者可自行設置。甚至運營者還可在「www」之前繼續添加四級域名、五級域名。
域名的層級順序是反直覺的:即從右至左層級逐漸降低。這一設計與大多數人的閱讀習慣恰恰相反,也讓攻擊者有了可乘之機。舉例來說,https://www.opensea.io.example.com該地址雖然和opensea地址高度相似,但其實際域名卻為「example.com」而非「opensea.io」。
Web3是否還有釣魚攻擊我們尚且難以預測。但在Web2的世界里,DNS域名系統確保了域名的唯一性,在域名為真的情況下,用戶幾乎不可能打開虛假網站。
2、不要泄露私鑰或助記詞
Crypto錢包不像Web2的電子郵件等賬戶,私鑰與助記詞無法修改、找回,一旦泄露就意味著這個錢包將同時歸屬于你與黑客,你錢包內所有的資產都可以隨時被黑客轉移,而由于以太坊地址的匿名性,你也無法查明黑客到底是誰,損失自然也無法追回,這個錢包也不能再繼續使用。
3、及時取消錢包授權
如果你已經在詐騙網站授權錢包,可以及時前往以下三個地址檢查錢包授權情況并及時取消:
https://etherscan.io/tokenapprovalchecker
https://revoke.cash/
https://debank.com/
點擊閱讀:熱門全鏈游戲盤點(上):Dark Forest Loot Survivor 和 Treaty 前言 全鏈游戲(Full Chain Game)是鏈游的重要發展發向.
1900/1/1 0:00:00玩游戲能養全家人,失業人群的救世主GameFi究竟贏在哪里? 編輯:柴米 出品|科技智谷 本文轉自公眾號:Techsoho2020年,菲律賓馬尼拉北部,新怡詩夏省卡巴那圖市.
1900/1/1 0:00:00作者:比推BitpushNews Mary Liu八名美國共和黨總統參選人的首場辯論已于美國時間周三(8月23日)晚結束,這是明年全美大選前的第一場重大活動,那么.
1900/1/1 0:00:00據Finextra4月8日消息,西班牙金融服務巨頭CaixaBank數字金融分支機構Imagin成為首家在元宇宙開設網站的歐洲金融科技公司.
1900/1/1 0:00:00作者:DARREN KLEINE,Blockworks;編譯:松雪,金色財經Polygon, Arbitrum, Optimism, Base……Layer2解決方案的列表還在繼續.
1900/1/1 0:00:00作者:LLAMARISK;編譯:Block unicorn 與 Curve 的關系 TrueUSD(TUSD)在 crvUSD 中扮演著重要角色.
1900/1/1 0:00:00