NFT防騙指南：歸零也不能便宜了黑客_OPEN

Crypto 的世界如同黑暗森林，你的身邊可能潛藏著無數危機。近日，就有黑客趁著 OpenSea 合約升級之時，給所有用戶的郵箱發送了一封釣魚郵件，而不少用戶錯把其當作官方郵件而將自己的錢包授權，進而導致錢包被盜。據統計，這一封郵件至少導致 3 個 BAYC、37 個 Azuki、25 個 NFT Worlds 等 NFT 被盜，按照地板價計算，黑客收入便已高達 416 萬美元。

而就在同天夜晚，「All in NFT」的同濟大學生 Niq 長期持有的 1/1 Doodle 也被盜，原因是對方找 Niq 私下磋商交易，在讓 Niq 放松警惕后發給了他一個假的交易網站鏈接。

如今，我們需要防范的黑客攻擊不僅僅存在于技術層面，還來自社會工程學，再加上眾多 NFT 項目的價格水漲船高，稍不留神便會損失巨額資產。鑒于最近 NFT 領域詐騙頻發，律動總結了幾類常見的詐騙手段，希望廣大讀者時刻提高警惕，不要上當受騙。

加密基礎設施作為一個類別已經取代NFT和游戲:金色財經報道，根據The Block Research匯編的數據，6月份，加密基礎設施賽道已經取代NFT和游戲，成為最受加密風投歡迎的投資類別。報告顯示，自2021年6月以來，NFT/游戲領域一直是web3中最受歡迎的風險投資標的，但這一23個月的連勝勢頭在6月份結束了，持續的熊市狀況正促使投資者關注基礎公司和項目。

6月份的重要交易包括Mythical Game的3700萬美元C1輪融資，以及由Binance Labs和Coin Fund牽頭的Cosmos區塊鏈Neutron的1000萬美元種子輪融資。[2023/7/4 22:16:15]

Discord 私信鏈接是是黑客常用的行騙手段，黑客往往會通過 Discord 不同的社區批量私信成員，或是冒充社區管理員以幫忙解決問題為由私信用戶，騙取錢包私鑰。或者發送虛假的釣魚網站，告訴用戶可以免費領取 NFT 等等。用戶一旦授權給黑客仿造的虛假網站，那么將會給用戶帶來巨大的虧損。

Casa首席技術官：比特幣NFT藝術興起是加密熊市造成區塊空間價格低廉導致:金色財經報道，比特幣托管公司Casa首席技術官Jameson Lopp表示，比特幣 NFT 的興起是加密熊市導致，由于比特幣價格一直處于低位，因此比特幣區塊空間的價格低廉，如果在牛市中，昂貴的交易費會讓Ordinals協議支付數千美元的成本來鑄造比特幣NFT，因此會讓更多人選擇放棄。Jameson Lopp還稱，NFT 藝術相當愚蠢且從未發現代幣化藝術的價值，更不是愿意花費數萬美元買的東西。（decrypt）[2023/2/19 12:15:53]

Discord 服務器被黑客攻擊幾乎是每一個火爆的 NFT 項目都會經歷的事情，黑客會攻擊服務器管理員的賬號，之后在服務器的各個頻道發布假公告，騙社區成員去黑客早就搭建好的假網站購買假的 NFT。而如今的黑客會通過發送詐騙網站等方式騙取服務器管理員的 token，這樣即使管理員開啟 2FA 雙重認證也無濟于事。而如果黑客搭建的詐騙網站會要求用戶錢包的授權，則會給用戶帶來更加嚴重的財產損失。

Mintverse和NFTScan共同推出NFT項目聯合認證簽名活動:3月10日消息，據NFTScan官方報道，Mintverse平臺與NFTScan共同推出了NFT項目聯合認證簽名活動，支持NFT資產合約開發者和項目方對其部署的NFT項目進行簽名認證，并提交相關基礎資料和社交信息。所有在NFTScan上簽署認證的項目，將同步在Mintverse上獲得認證。為了鼓勵項目方主動認證簽名，提供及時、準確的項目信息及數據， Mintverse平臺將返還全部被認證項目的手續費到項目方及項目交易用戶，該活動將持續到今年六月底。前100個簽名認證項目及其交易用戶更也有機會獲得未來Mintverse代幣MINTS空投。認證活動已經啟動，開發者可以通過NFTScan瀏覽器平臺即刻進行簽名驗證。與OpenSea平臺的認證方式有所不同，此次簽名認證活動不僅要求NFT開發者進行錢包地址簽名，還會要求其提供更為詳細的項目信息和社交資料，以及版權描述、metadata示例等重要信息。[2022/3/10 13:48:06]

這類騙術常見于騙子與用戶私下磋商的 NFT 交易過程。Sudoswap、NFTtrader 等交易平臺鼓勵用戶通過私下磋商的方式「交換」彼此的 NFT 或 token，而這些平臺也為私下磋商成的交易提供了安全保障，這對于 NFT 市場來說本是一件好事，但如今有黑客開始通過仿造的 Sudoswap、NFTtrader 網站進行詐騙。

推特在iOS端上線NFT頭像功能:金色財經報道，1 月21 日，據推特旗下高級訂閱服務Twitter Blue官推消息，目前該服務已正式上線iOS端NFT頭像功能，訂閱用戶可以連接MetaMask等錢包將個人所擁有的NFT設置為頭像，NFT頭像會以特殊的六邊形呈現，點擊即可呈現該NFT的相關細節信息，例如，NFT 名稱、創建者、持有者等等。還可以跳轉至OpenSea查看更多信息。不過，目前該功能僅支持在以太坊 (ETH) 區塊鏈上鑄造的靜態圖像，例如 JEPG 和 PNG 文件，主要是基于 ERC-721 和 ERC-1155 代幣標準的NFT。此外，該功能目前僅對蘋果設備開放。（cointelegraph）[2022/1/21 9:03:32]

Sudoswap、NFTtrader 在磋商完成后需要用戶發起一筆交易，這一步驟會生成一個訂單確認網站，雙方確認后交易會通過智能合約自動進行。騙子在一開始會假裝與你商議交換哪些 NFT，并先為你展示一個真的網站鏈接，隨后提出對交易進行修改，在交易者放松警惕后，騙子會發送一個詐騙鏈接，用戶點擊確認交易后，錢包中對應的 NFT 便會被發送至騙子的錢包中。

COCOS 英雄NFT上線僅半小時，最高出價為 97BNB:4月23日20:00（UTC+8），下一代游戲數字經濟平臺Cocos-BCX上線英雄NFT拍賣玩法，通過Treasureland官網分別于4月23日 20:00（UTC+8）和4月24日 20:00（UTC+8）進行兩次NFT英雄拍賣，用戶通過拍賣獲得的英雄 NFT 在4月28日可組隊進行挖礦，成為戰隊隊長，分享更多收益。

截止目前，COCOS英雄NFT上線僅半小時，最高出價為97BNB，每個英NFT拍賣持續時間為24小時，英雄NFT全球有且僅有8位，每個英雄NFT面值5,0000COCOS。[2021/4/23 20:52:37]

騙子會通過各種手段誘導用戶將私鑰或助記詞發送給自己，比如搭建詐騙網站、假裝自己是來幫助用戶的管理員等，種種行為均是為了降低用戶的警惕，伺機騙走私鑰和助記詞。

虛假 NFT 合集是在很多熱門項目發售前最容易遇到的。當 NFT 盲盒正式上線前，騙子會提前在 OpenSea 等 NFT 交易平臺上傳名稱類似的 NFT 合集，并且提前通過官方釋放出的信息精美的「裝修」好這個合集。真正的 NFT 合集在沒上線的情況下，用戶優先會搜索到名字最為接近的合集。有些騙子為了讓用戶相信還會制造幾筆交易，給當前掛單的假冒 NFT 發送 Offer 出價。

為了節省平臺和項目方的版稅抽成，社區成員之間會進行私下交易，除了上文所談到的通過仿造 Sudoswap、NFTtrader 網站之外，也有騙子通過在社區頻道發送略低于地板價的假 NFT 合集鏈接。用戶往往會在急于搶購低于地板價 NFT 時忽略了 NFT 的真實性從而受騙。

大部分的 NFT 平臺都會要求用戶綁定郵箱，以方便用戶能夠第一時間知道自己 NFT 的交易情況，因此郵箱也成為了詐騙泛濫的聚集地。騙子通常會偽裝成 OpenSea 平臺的官方賬號，以合約地址需要修改或錢包需要重新驗證等方式向用戶發送釣魚網站鏈接。近日 OpenSea 在公布合約升級之后，黑客便是以這種方式騙取用戶財產近 400 萬美元。截止撰稿日期，OpenSea 團隊仍然在排查受損用戶。

無論黑客采用何種天花亂墜的包裝，和如何令你意亂神迷的語言描述，在最終他盜走你的加密資產之時，始終需要一個和你的錢包發生交互的途徑。普通用戶或許不具備辨別合約風險的能力，但幸運的是，我們至今仍處在一個 web2 所主導的互聯網世界。幾乎所有的加密合約都需要借助一個 web2 的前端網頁來和用戶交互。

因此，幾乎絕大多數面向用戶（而非項目方）的加密資產盜竊都是發生在仿冒的釣魚網站之上。而一旦了解了如何鑒別釣魚網站，將足以幫你避開 99% 的加密資產盜竊。

對于伴隨著智能手機成長起來的 Z 世代來說，他們生活在一個又一個 App 營造的「生態」之中，對于 web 網頁這個陳舊的事物或許已經疏于了解了。在 web2 時代，DNS 域名系統為每一個網站賦予了全網唯一的身份標識，了解域名構成的基本規則，將足以應對幾乎全部的虛假釣魚網站。

在傳統的 DNS 域名中，域名層級分為三級。從第一個分隔符（/）開始從右至左閱讀，每個句號分隔開一個層級。以 https://www.opensea.io/ 為例「.io」和「.com」、「.cn」等類似，被稱為頂級域名，該字段不可自定義。「opensea」被稱為二級域名，也即域名的主體，同一頂級域名（比如同為.io）下該字段不可重復。「www」部分則為三級域名，該字段網站運營者可自行設置。甚至運營者還可在「www」之前繼續添加四級域名、五級域名。

域名的層級順序是反直覺的：即從右至左層級逐漸降低。這一設計與大多數人的閱讀習慣恰恰相反，也讓攻擊者有了可乘之機。舉例來說，https://www.opensea.io.example.com 該地址雖然和 opensea 地址高度相似，但其實際域名卻為「example.com」而非「opensea.io」。

Web3 是否還有釣魚攻擊我們尚且難以預測。但在 Web2 的世界里，DNS 域名系統確保了域名（或者說網址）的唯一性，在域名為真的情況下，用戶幾乎不可能打開虛假網站。

Crypto 錢包不像 Web2 的電子郵件等賬戶，私鑰與助記詞無法修改、找回，一旦泄露就意味著這個錢包將同時歸屬于你與黑客，你錢包內所有的資產都可以隨時被黑客轉移，而由于以太坊地址的匿名性，你也無法查明黑客到底是誰，損失自然也無法追回，這個錢包也不能再繼續使用。

如果你已經在詐騙網站授權錢包，可以及時前往以下三個地址檢查錢包授權情況并及時取消：

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/

https://debank.com/

作者：NFT Labs，律動研究院

Tags：NFTSEAPENOPENNFT-StarterThe Silent SeaPenny TokenOPENX幣

AVAX