作者:阿法兔Mona
隨著NFT市場的飛速增長,2021年NFT市場的交易額度近達到442億美元,巨大的金額誘惑導致職業騙子和數字世界的職業詐騙者大量滲透到加密世界,而這些加密世界的騙子,面對經驗不足的加密小白進行降維打擊,為了給大家提供一些有用處的安全指南,是本文寫作的契機。
本文主要分為以下幾部分:
1)作為Discord或者想參與NFT項目的新手,你應該注意什么?
2)目前Discord的環境現狀
3)來自Discord官方的安全指南
4)再次重申
NFT防騙指南
先提供一些對于普通用戶需要記住的安全操作指南,我們后面會進一步進行分析。
首先我們要注意:騙局的幾大騙人本質,通常就是利用人類的希望、貪婪(例如,天降祥瑞了!恭喜你,中了大獎)和恐懼。
0.所有DM附帶鏈接的不要信,建議直接把DM關掉
這一條也是發生頻率比較高的,原因在于,如果不是真實生活里有交集的朋友,Discord私聊你很可能是惡意陌生人,有詐騙的風險。
關于NFT項目的一些可能的疑點
1.Discord不開公共聊天室
2.Twitter不開評論
3.非原創設計
4.?非WL也可以在Presale中Mint
5.團隊完全匿名,尤其是設計師?
6.核心成員非常少,MOD都是網上找的志愿者?
7.從未舉辦AMA?
8.抽獎永遠只抽WL或者該項目的免費NFT?
9.除了抽獎基本沒有其他活動?
10.WL要求中,拉人頭占很大比重?
11.Presale非常倉促?
12.每個錢包的Mint數量較多?
Web3基礎設施公司ChainSafe發布跨鏈區塊頭預言機Zipline Casper原型:7月28日消息,Web3 基礎設施公司ChainSafe宣布發布Zipline Casper原型,Zipline Casper是一個樂觀的、信任最小化的跨鏈區塊頭預言機,允許任何人使用Casper finality 協議(例如,以太坊或 Gnosis)從鏈中獲取區塊頭,并將它們提交到另一個EVM鏈上,同時保證未由源鏈最終確定的區塊頭最終將在目標鏈被拒絕。
Zipline Casper是一個由Gnosis Builders計劃資助的項目。ChainSafe將于2023年底之前推出Zipline Casper簡化版本。[2023/7/28 16:04:27]
13.項目周期比較短?
14.General頻道活躍度極低?
15.推特上沒什么人關注,評論轉發很少?
16.無其他項目方聯動
17.所有DM附帶鏈接的不要信,建議直接把DM關掉
去中心化體制的后果就是:沒人能全權對某件事情進行負責。Discord是否對其用戶負有安全責任?還是說每個服務器的負責人需要保護用戶安全?還是用戶自己需要學習所有的安全常識,例如不要點擊陌生人發送的鏈接?
注意:從安全專家的角度來看,詐騙數量只是一方面;更重要的是很多詐騙手段越來越復雜。就像免疫系統運作一樣:盡管NFT持有者對普通的騙局有了一定免疫力,例如不信任任何陌生信息,會保護好自己的助記詞。但是,由于安全功能尚且有限,越來越多的新方式開始出現,欺騙Web3er。
背景
我們從一個故事開始說起:
2021年7月,50歲的兼職戶外教練Heart在和孩子們進行戶外訓練的時候,家中因電線短路而被燒毀,房屋保險已過期,因此她的所有財產都毀于一旦。之后通過區塊鏈公司Nametag的贈品,Heart獲得了一個無聊猿NFT。
無聊猿NFT的品牌屬性就像消費品世界中的LV香奈兒一樣,目前在二級市場的價格可高達數百萬美元。Heart在收到這只猴子的時候,價值約為3.5萬美元,而后漲到8萬美元。
阿迪達斯Web3項目ALTS by adidas向部分持有者空投“GOLDEN TICKET”NFT:金色財經報道,阿迪達斯旗下Web3項目ALTS by adidas在社交媒體宣布已向部分持有者空投“GOLDEN TICKET”NFT,該NFT總計110枚,持有者可以使用阿迪達斯獨家發售和體驗旗艦平臺CONFIRMED應用程序上獲得特殊功能。此外,“GOLDEN TICKET”NFT是可交易的,目前已登陸OpenSea平臺,本文撰寫時地板價為0.45 ETH,交易額為3 ETH。阿迪達斯提醒用戶“GOLDEN TICKET”的有效期為2023年5月25日至2024年5月25日,在此日期之后將失效,因此必須在此時間段內使用。[2023/5/20 15:14:53]
但是就在去年8月,Heart收到了一個VeeFriends贈品的鏈接,該贈品是由聊天平臺Discord上的一位陌生人直接發送的,看起來一切似乎都比較合理,URL指向該項目的官方網站。但是,當她準備領取贈品時,官網要求輸入她的助記詞,當她輸入之后:
自己賬戶里的所有Eth和猴子都不見了。
隨著NFT市場的飛速增長,2021年NFT市場的交易額度近達到442億美元,巨大的金額誘惑導致職業騙子和數字世界的職業詐騙者大量滲透到加密世界,而這些加密世界的騙子,面對經驗不足的加密小白進行降維打擊。
作為一個公共的聊天平臺,Discord就是他們的溫床之一。
數據顯示,2022年1月,有至少44臺Discord服務器遭到攻擊,損失超過100萬美元。NFT項目作為一個對騙子們有巨大誘惑力的競技場,已經有人開始以工業模式,規模化的詐騙團隊進入NFT領域。但是,這些都沒有影響Discord的增長。9月份,Discord融資5億美元,在巨大的增長中,其估值翻了一番多,達到150億美元。聊天服務長期以來一直是視頻游戲玩家的熱門平臺,在過去一年里,它已成為加密社區事實上的城市廣場,以至于每一個主要的NFT項目和分散的自治組織現在都有一臺Discord服務器。
Web3游戲社區平臺AQUA獲得DIGITA 1000萬美元投資:9月28日消息,基于 Immutable X 的 Web3 游戲社區平臺 AQUA 宣布獲得來自對沖基金億萬富翁 Steve Cohen 旗下投資公司 DIGITA 的 1000 萬美元投資,該社區目前已推出了由社區驅動的 Web3 游戲資產交易市場。[2022/9/28 5:59:17]
從表面上看,Discord沒有提供任何與Slack或Telegram等傳統企業消息平臺截然不同的東西,后者主要提供語音和文本聊天工具。該公司成立于2015年,早期多是電子游戲玩家的交流平臺,但在過去一年里,已經成為加密貨幣社區的組織活躍陣地,但其實Discord并沒有提供任何與Slack或Telegram等傳統企業消息平臺完全不同的價值,主要還是語音和文字的聊天工具。
Discord主要是提供了一個可以閑逛的地方,但是游戲玩家后來被加密淘金者所取代,很多人堅信去中心化互聯網時代的到來,而隨著NFT價格飆升,Discord為DAO和NFT提供了一個現成場所,一個沒有看門人的自由俱樂部,以及一個足夠舉辦數千人聚會的會議空間。
2019年再到現在,Discord的MAU從5600萬增長到超過1.5億,這就帶來了很大的安全挑戰,而對個人Discord服務器的治理規則并沒有迭代,因此,維護平臺安全的責任在主要是服務器的個體負責人,有些是志愿者,而有些是DAO和NFT項目的員工劃分相對混亂。
雖然Discord已經推出了新的管理工具例如屏蔽某個用戶,也雇傭了全職安全團隊,但當當騙子開始在某個頻道詐騙時,版主往往是第一道防線。
ThewayDiscordissetup,itmakesitreallyeasytofallforthosescamsbetweennotificationsflyingineveryfivesecondsandthewayyoucanchangeyouravatar,yourusername,”saidNicholasPtacek,aformercomputersecurityspecialistatSecureMacwhonowwritesaboutNFTsandcrypto.“It'skindofascammer’sparadise.”
Web3基金會CEO:加密市場崩盤有助于擺脫“壞演員”或暗指Do Kwon:金色財經報道,據 CNBC 消息,Web3 基金會首席執行官 Bertrand Perez 在瑞士達沃斯舉行的世界經濟論壇上表示,最近數字貨幣市場崩盤有助于擺脫該領域的“壞演員”(bad actors)。Bertrand Perez 說道:“我們正處于熊市中,我認為這很好,這很好,因為熊市將清除那些出于不良目的待在這個行業里的人。”Bertrand Perez 沒有具體指出所謂“壞演員”是誰,但加密社區猜測可能是暗指 Terra 創始人 Do Kwon。此外,Polygon 聯合創始人 Mihailo Bjelic 也認為加密貨幣市場下跌是“必要的”,因為激進的市場會有點不現實,或者在一定程度上讓投資者變得魯莽,現在需要糾正,最終推動加密市場更加健康。[2022/5/29 3:48:22]
SecureMac前計算機安全專家NicholasPtacek認為:
"Discord的運行方式有點像騙子的天堂。"
即使是在互聯網時代,網絡釣魚計劃也會頻繁出現,但由于NFT產業尚處于早期的蠻荒時代,價值不菲的數字匿名性、超大額的資產、神秘的技術,小白的涌入...這真的是屬于罪犯的游樂場。
去中心化體制的后果就是:沒人能全權對某件事情進行負責。Discord是否對其用戶的福利有安全責任?還是說每個服務器的負責人需要保護用戶安全?還是用戶自己需要學習所有的安全常識,例如不要點擊陌生人發送的鏈接?
從安全專家的角度來看,詐騙數量只是一方面;更重要的是很多詐騙手段越來越復雜。就像免疫系統運作一樣:盡管NFT持有者對普通的騙局有了一定免疫力,例如不信任任何陌生信息,會保護好自己的助記詞。但是,由于安全功能尚且有限,越來越多的新方式開始出現,用戶欺騙Web3er。
但是,受騙者基本沒法追回損失。盡管OpenSea會標記被盜物品并阻止它們在平臺上交易,但它無法撤銷交易,這意味著它無法將被盜的NFT返還給其合法所有者。ChiltonYambertPorter的知識產權律師喬納森認為,通常情況下,受害者只能寫信給無意中購買被盜NFT的人,全額回購藝術品。因為有關部門對這個世界沒有明確的監管,所以大部分時候只能愿賭服輸。
Reddit聯創與Polygon合作推出2億美元基金,專注于Web3和社交媒體:12月17日消息,Reddit聯合創始人Alexis Ohanian旗下風險投資公司Seven Seven Six和Polygon將投資2億美元用于利用區塊鏈技術的社交媒體項目。(Venture Beat)
據悉,Ohanian于2005年參與創立新聞和內容論壇Reddit,他于去年成立了風投機構SevenSevenSix,其第一個基金獲得了1.5億美元融資。同時,Ohanian還是Coinbase的早期投資者。
此前消息,Reddit聯合創始人旗下Seven Seven Six將與Solana Ventures推出5000萬美元Web3社交媒體基金。[2021/12/18 7:47:04]
來自Discord官方的安全建議
首先,當我們準備點擊鏈接加入服務器,迎接新空投時,可能發生的情況有,盡管鏈接看起來是對的,但似乎還是會有不對勁。
特征一,對方說話方式并不人性,例如用某些事項威脅你,還有一定的期限,警告你必須加入某個項目?鏈接?否則你會失去機會。這種騙子的特點之一就是,從沒有在任何和用戶共同服務器中發布過信息,也不與你共享共同服務器,但會突然來搭訕。
根據聯邦貿易委員會的信息,2021年網絡詐騙激增。盡管Discord的使命一直是讓Discord成為互聯網上人們找到歸屬感的最佳場所,我們很開心能看到基于興趣的社區將人們聚集在一起,但我們也看到一些危險的人試圖利用這些社區。
因此,在這里向大家分享我們正在采取的額外措施,并介紹一些可以可以在Discord上保護自己的方法。希望你把這些安全技能牢記心間:
對于普通用戶:
·不要點擊來自未知發件人或看起來可疑的鏈接。
·不要下載程序或復制/粘貼你不認識的代碼。
·不要把你的密碼透露給任何人!
·不要分享或屏幕共享你的授權令牌。
·不要掃描任何來自你不認識的人或你無法驗證其合法性的QR碼。
·啟用2-FactorAuthentication,以盡可能地保證你的賬戶安全。
對于服務器負責人:
·審核服務器權限,特別是像webhooks這樣的高級工具。
·保持官方服務器邀請函的更新,特別是如果你的大多數新服務器成員來自Discord之外的社區,請實時更新。
·同樣,不要點擊可疑的或未知的鏈接,如果你的賬戶被泄露,它可能會對你所管理的社區產生更大的影響。
互聯網安全檢查表
對網絡安全保持敬畏是很重要的,以下是一些簡單而有效的方法,可以在一定程度上確保你在DMs中,甚至在Discord之外的安全。
1.只打開來自你認識的人的可信鏈接
大量的安全問題源于用戶在檢查鏈接是否是真實之前就點擊了它們,始終仔細檢查你要點擊的鏈接,linkshorteningservices可以輕易地掩蓋不安全的網站或程序。建議通過像VirusTotal這樣的資源來檢查它,看看是否有人已經把它標記為潛在的危險。
2.注意URL拼寫
3.不要下載程序或運行你不了解的代碼
4.不下載、運行來源不明的軟件
5.謹慎注意陌生人發你的程序
如果有人聲稱有"一個特別精彩的軟件”需要你在自己的電腦上運行,大概率在誤導你,以便用他們用釣魚程序獲取你的個人信息。
Discord安全檢查表
決定可以給你發送DM的名單:禁用特定服務器的DM,防止隱藏在大型社區內的騙子與你聯系。
Toadjustwhocanandcan’tDMyou,headintoUserSettings>Privacy&Safety,thenscrolldownto“ServerPrivacyDefaults.”Fromthere,you’llfindtheoptionto“Allowdirectmessagesfromservermembers.”注意,這個新狀態只適用于改變設置后加入的服務器;它不會影響你已有的服務器。
如果關閉這個選項,新加入的服務器的成員就不能通過DM聯系你,除非你事先和他們是朋友,收到來自你不認識的人的可疑信息是有一定風險的。
如果在一個你信任的服務器中,并且不介意被里面的人發消息,你可以在個人基礎上切換隱私設置。Headtothatserverondesktopormobileandselectitsnametoopentheserver'ssettings,andchoose“PrivacySettings.”Oncethere,you’llfindthe“Allowdirectmessagesfromservermembers"option.Turnthaton,andyou’refreetoreceiveallsortsofDMsfromeveryoneinthatserver,regardlessofifyou’refriendsornot!
審核服務器權限
·了解模版和服務器內成員有哪些權限,是保持其中每成員安全的關鍵。如果你是一個服務器的所有者,最近檢查過權限列表嗎?誰有什么權限?你知道他們有這個權限嗎,時間有多長?
·要確保只有你信任的版主才有權限改變強大的服務器工具,包括你可能添加到服務器的任何機器人,對冒充大型知名機器人的機器人要保持警惕。
·保持邀請鏈接的更新
如果更新了服務器的鏈接,請確保你的社區和新用戶都了解這些變化,并時刻更新你分享這些鏈接的任何社交媒體頁面。如果可能的話,舊的邀請鏈接的引用,并讓大家知道這些鏈接已經被更新。
注意!如果有人獲取你的Discord帳戶的控制權,就可以改變你的用戶名、密碼、與賬戶綁定的電子郵件,以及與你的賬戶相關的任何其他信息。一旦盜竊者進入你的Discord賬戶,他們就能看到你的所有個人信息。從服務器布局到服務器權限,到機器人,甚至可以把你的所有用戶踢出服務器,如果你的賬戶是黑客瞄準的服務器的負責人,甚至可能利用你的賬戶作為墊腳石,在社區內進一步進行破壞,冒充你來欺騙毫無戒心的成員。
一切職業詐騙者,還可能針對那些擁有不可復制的獨特檔案徽章的Discord帳戶,如早期支持者的特許徽章等等,如果你有這些獨特的徽章之一,就應該對你的賬戶格外警惕。
建議賬戶啟用2-FactorAuthentication,因為詐騙勒索者也需要提供2FA代碼來更改你的密碼
再次重申
對于普通用戶:
不要點擊來自未知發件人或看起來可疑的鏈接。
不要下載程序或復制/粘貼你不認識的代碼。
不要把你的密碼透露給任何人!
不要分享或屏幕共享你的授權令牌。
不要掃描任何來自你不認識的人或你無法驗證其合法性的QR碼。
啟用2-FactorAuthentication,以盡可能地保證你的賬戶安全。
對于服務器負責人:
審核服務器權限,特別是像webhooks這樣的高級工具。
保持官方服務器邀請函的更新,特別是如果你的大多數新服務器成員來自Discord之外的社區,請實時更新。
同樣,不要點擊可疑的或未知的鏈接,如果你的賬戶被泄露,它可能會對你所管理的社區產生更大的影響。
關于NFT項目的一些可能的疑點
1.Discord不開公共聊天室
2.Twitter不開評論
3.非原創設計
4.?非WL(W?List)也可以在Presale中Mint
5.團隊完全匿名,尤其是設計師?
6.核心成員非常少,MOD都是網上找的志愿者?
7.從未舉辦AMA?
8.抽獎永遠只抽WL或者該項目的免費NFT?
9.除了抽獎基本沒有其他活動?
10.WL要求中,拉人頭占很大比重?
11.Presale非常倉促?
12.每個錢包的Mint數量較多?
13.項目周期比較短?
14.General頻道活躍度極低?
15.推特上沒什么人關注,評論轉發很少?
16.無其他項目方聯動
17.所有DM附帶鏈接的不要信,建議直接把DM關掉
祝愿看到本文的朋友都能平安順利!
作者:ArthurHayes原標題:《Bottomless》編譯:吳卓鋮,吳說區塊鏈三周前,我寫了一篇名為《混亂局面》(Maelstrom)的文章,在文中.
1900/1/1 0:00:00鏈捕手消息,初創鏈游公司BangerGames完成1000萬歐元戰略融資,Avalanche、ShimaCapital、GSR、FloriVentures、PoolzVentures、G20、L.
1900/1/1 0:00:00作者:胡韜,鏈捕手 USDT發行方Tether今日公布2021年第四季度綜合儲備報告,顯示該公司總資產為786.7億美元,而與數字代幣相關的負債約為785.3億美元.
1900/1/1 0:00:00鏈捕手消息,美國互聯網媒體和娛樂公司Buzzfeed近日公布了無聊猿BAYC兩位聯合創始人真實身份,分別是32歲的作家兼編輯GregSolano和35歲的WylieAronow.
1900/1/1 0:00:00鏈捕手消息,基于以太坊的P2E鏈游HeroesofMavia完成550萬種子輪融資,GenblockCapital、DelphiDigital、MechanismCapital、AlamedaR.
1900/1/1 0:00:00鏈捕手消息,以太坊基礎設施開發商ConsenSys宣布收購開源加密錢包MyCrypto,預計會將其與旗下以太坊錢包MetaMask相結合以提高交易安全性和可用性.
1900/1/1 0:00:00