一封诈骗邮件骗走了416万美元!NFT防骗指南

Crypto的世界如同黑暗森林,你的身边可能潜藏着无数危机。近日,就有黑客趁着OpenSea合约升级之时,发送了一封钓鱼邮件给所有用户,而不少用户错把其当作官方邮件,而将自己的钱包在假网站上进行授权,进而导致钱包被盗。据统计,这一封邮件至少导致3个BAYC、37个Azuki、25个NFT Worlds等NFT被盗,按照地板价估算,黑客收入已高达416万美元。

而就在同天夜晚,“All in NFT”的大学生Niq长期持有的1/1 Doodle也被盗,原因是对方找Niq私下磋商交易,在让Niq放松警惕后发给了他一个假的交易网站连接。

如今,我们需要防范的黑客攻击不仅仅存在于技术层面,还来自社会工程学,再加上众多NFT项目的价格水涨船高,稍不留神便会损失巨额资产。鉴于最近NFT领域诈骗频发,律动总结了几类常见的诈骗手段,希望广大读者时刻提高警惕,不要上当受骗。

Discord私信连接是是黑客常用的行骗手段,黑客往往会通过Discord不同的社群大量发送私信给成员,或是冒充社群管理员以帮忙解决问题为由私信用户,骗取钱包私密密钥。或者发送假的钓渔网站,告诉用户可以免费领取NFT等等。用户一旦授权给了黑客仿造的假网站,那么将会给用户带来巨大的亏损。

Discord服务器被黑客攻击几乎是每一个红火的NFT项目都会经历的事情,黑客会攻击服务器管理员的账号,之后在服务器的各个频道发布假公告,骗社群成员去黑客早就搭建好的假网站购买假的NFT。而如今的黑客会通过发送诈骗网站等方式骗取服务器管理员的token,这样即使管理员打开2FA双重认证也无济于事。而如果黑客搭建的诈骗网站会要求用户钱包的授权,则会为用户带来更加严重的财产损失。

这类骗术常见于骗子与用户私下磋商的NFT交易过程。Sudoswap、NFTtrader等交易平台鼓励用户通过私下磋商的方式“交换”彼此的NFT或token,而这些平台也为私下磋商成的交易提供了安全保障,这对于NFT市场来说本是一件好事,但如今有黑客开始通过仿造的Sudoswap、NFTtrader网站进行诈骗。

Sudoswap、NFTtrader在磋商完成后需要用户发起一笔交易,这一步骤会产生一个订单确认网站,双方确认后交易会通过智能合约自动进行。骗子在一开始会假装与你商议交换哪些NFT,并先为你展示一个真的网站连接,随后提出对交易进行修改,在交易者放松警惕后,骗子会发送一个诈骗连接,用户点击确认交易后,钱包中对应的NFT便会被发送至骗子的钱包中。

骗子会通过各种手段诱导用户将私密密钥或助记词发送给自己,比如搭建诈骗网站、假装自己是来帮助用户的管理员等,种种行为均是为了降低用户的警惕,伺机骗走私密密钥和助记词。

假NFT合集是在很多热门项目发售前最容易遇到的。当NFT盲盒正式上线前,骗子会提前在OpenSea等NFT交易平台上传名称类似的NFT合集,并且提前通过官方释放出的信息精美的“装修”好这个合集。真正的NFT合集在没上线的情况下,用户优先会搜索到名字最为接近的合集。有些骗子为了让用户相信还会制造几笔交易,为当前挂单的假冒NFT发送Offer出价。

为了节省平台和项目方的版税抽成,社群成员之间会进行私下交易,除了上文所谈到的通过仿造Sudoswap、NFTtrader网站之外,也有骗子通过在社群频道发送略低于地板价的假NFT合集连接。用户往往会在急于抢购低于地板价NFT时忽略了NFT的真实性进而受骗。

大部分的NFT平台都会要求用户绑定信箱,以方便用户能够第一时间知道自己NFT的交易情况,因此信箱也成为了诈骗泛滥的聚集地。骗子通常会伪装成OpenSea平台的官方账号,以合约地址需要修改或钱包需要重新验证等方式向用户发送钓渔网站连接。近日OpenSea在公布合约升级之后,黑客便是以这种方式骗取用户财产近400万美元。截止撰稿日期,OpenSea团队仍然在排查受损用户。

无论黑客采用何种天花乱坠的包装,和如何令你意乱神迷的语言描述,在最终他盗走你的加密资产之时,始终需要一个和你的钱包发生交互的途径。普通用户或许不具备辨别合约风险的能力,但幸运的是,我们至今仍处在一个Web2所主导的网络世界。几乎所有的加密合约都需要借助一个Web2的前端网页来和用户交互。

因此,几乎绝大多数面向用户(而非项目方)的加密资产盗窃都是发生在仿冒的钓渔网站之上。而一旦了解了如何鉴别钓渔网站,将足以帮你避开99%的加密资产盗窃。

对于伴随着智能手机增长起来的Z时代来说,他们生活在一个又一个App营造的“生态”之中,对于Web网页这个陈旧的事物或许已经疏于了解了。在Web2时代,DNS域名服务器为每一个网站赋给了全网唯一的身份标志,了解域名名称构成的基本规则,将足以应对几乎全部的假的钓渔网站。

在传统的DNS域名名称中,域名名称层级分为三级。从第一个分隔符号(/)开始从右至左阅读,每个句号分隔开一个层级。以https://www.opensea.io/ 为例“.io”和“.com”等类似,被称为顶层域名名,该字段不可自订。 “opensea”被称为二级域名名称,也即域名名称的主体,同一顶层域名名(比如同为.io)下该字段不可重复。 “www”部分则为三级域名名称,该字段网站运营者可自行设置。甚至运营者还可在“www”之前继续添加四级域名名称、五级域名名称。

域名名称的层级顺序是反主动的:即从右至左层级逐渐降低。这一设计与大多数人的阅读习惯恰恰相反,也让攻击者有了可乘之机。举例来说,https://www.opensea.io.example.com该地址虽然和opensea地址高度相似,但其实际域名名称却为“example.com”而非“opensea.io”。

Web3是否还有钓鱼攻击我们尚且难以预测。但在Web2的世界里,DNS域名服务器确保了域名名称(或者说网址)的唯一性,在域名名称为真的情况下,用户几乎不可能打开假网站。

Crypto钱包不像Web2的电子邮件等账户,私密密钥与助记词无法修改、找回,一旦泄露就意味着这个钱包将同时归属于你与黑客,你钱包内所有的资产都可以随时被黑客转移,而由于以太坊地址的匿名性,你也无法查明黑客到底是谁,损失自然也无法追回,这个钱包也不能再继续使用。

如果你已经在诈骗网站授权钱包,可以及时前往以下三个地址检查钱包授权情况并及时取消:

发表评论