Crypto 的世界如同黑暗森林,你的身边可能潜藏着无数危机。近日,就有黑客趁着 OpenSea 合约升级之时,给所有用户的邮箱发送了一封钓鱼邮件,而不少用户错把其当作官方邮件而将自己的钱包授权,进而导致钱包被盗。据统计,这一封邮件至少导致 3 个 BAYC、37 个 Azuki、25 个 NFT Worlds 等 NFT 被盗,按照地板价计算,黑客收入便已高达 416 万美元。
而就在同天夜晚,「All in NFT」的同济大学生 Niq 长期持有的 1/1 Doodle 也被盗,原因是对方找 Niq 私下磋商交易,在让 Niq 放松警惕后发给了他一个假的交易网站链接。
如今,我们需要防范的黑客攻击不仅仅存在于技术层面,还来自社会工程学,再加上众多 NFT 项目的价格水涨船高,稍不留神便会损失巨额资产。鉴于最近 NFT 领域频发,律动总结了几类常见的手段,希望广大读者时刻提高警惕,不要上当受。
电商巨头eBay为其收购的KnownOrigin NFT市场招聘Web3职位:金色财经报道,电商巨头eBay为其收购的KnownOrigin NFT市场招聘Web3职位,包括加密顾问、社区负责人、营销主管等。
根据LinkedIn的职位发布,加密顾问的角色将主要专注于为NFT发展提供建议,聘请的律师将与税务、知识产权 ( IP ) 和安全方面的同事合作,提供监管指导。
此前消息,eBay已完成对NFT市场KnownOrigin的收购交易,具体金额及条款暂未透露。本次收购旨在将eBay的影响力和声誉与KnownOrigin的领先技术相结合,为新一代NFT创作者、卖家和买家提供支持。[2023/2/3 11:44:38]
Discord 私信链接是是黑客常用的行手段,黑客往往会通过 Discord 不同的社区批量私信成员,或是冒充社区管理员以帮忙解决问题为由私信用户,取钱包私钥。或者发送虚假的钓鱼网站,告诉用户可以免费领取 NFT 等等。用户一旦授权给黑客仿造的虚假网站,那么将会给用户带来巨大的亏损。
“边玩边赚”类NFT游戏通证总市值突破250亿美元 创历史新高:金色财经报道,据最新数据显示,“边玩边赚”(Play-to-Earn)类代币总市值已突破250亿美元,创下历史新高,本文撰写时为26,225,014,450美元,24小时交易额为5,404,086,431美元。据悉“边玩边赚” 类代币总市值在11月1月突破200亿美元关口,这意味着单周增长超过60亿美元。目前市值最高的“边玩边赚”类游戏是Axie Infinity,约为10,459,732,933美元;Enjin Coin排名第二,市值为3,217,371,555美元;The Sandbox排名第三,市值为2,417,681,457美元。[2021/11/7 6:36:32]
软银支持的NFT独角兽Sorare将投资女足:金色财经报道,软银支持的NFT独角兽Sorare已经宣布将支持女性参与体育运动,该公司首席执行官 Nicolas Julia通过电子邮件解释说:“我们相信NFT 可以显着推动女子体育运动的发展,我们将从女足开始积极投资。”在最近一笔高达6.8亿美元的投资交易中,目前专注于梦幻足球游戏的NFT市场Sorare估值达到了43亿美元。(cointelegraph)[2021/10/4 17:23:44]
Discord 服务器被黑客攻击几乎是每一个火爆的 NFT 项目都会经历的事情,黑客会攻击服务器管理员的账号,之后在服务器的各个频道发布假公告,社区成员去黑客早就搭建好的假网站购买假的 NFT。而如今的黑客会通过发送网站等方式取服务器管理员的 token,这样即使管理员开启 2FA 双重认证也无济于事。而如果黑客搭建的网站会要求用户钱包的授权,则会给用户带来更加严重的财产损失。
Artnet Auctions宣布将在秋季拍卖中提供NFT作品:8月24日消息,在线艺术品交易平台Artnet Auctions今天宣布将提供NFT作为Artnet秋季拍卖销售的一部分。Artnet首席执行官Jacob Pabst表示:“为了弥合传统艺术业务和加密世界之间的鸿沟,我们将在今年秋季提供多位NFT艺术家的作品。”据悉,与2020年(242.3万美元)相比,Artnet Auctions收费收入在2021年前6个月大幅增长23%,达到300万美元。(DGAP.DE)[2021/8/24 22:34:18]
这类术常见于子与用户私下磋商的 NFT 交易过程。Sudoswap、NFTtrader 等交易平台鼓励用户通过私下磋商的方式「交换」彼此的 NFT 或 token,而这些平台也为私下磋商成的交易提供了安全保障,这对于 NFT 市场来说本是一件好事,但如今有黑客开始通过仿造的 Sudoswap、NFTtrader 网站进行。
HDAO主席:NFT将是去中心化金融发展的下一步,是DeFi2.0时代的使命和方向:据官方消息,9月16日晚8点,在直播访谈上,去中心化金融服务平台HDAO主席Benjamin Leff表示,NFT将是去中心化金融发展的下一步,更多物理世界的资产上链,并参与到碎片化投资领域,让更多用户受益于DeFi,是DeFi2.0时代的使命和方向。相对于通用的以数字货币抵押借贷为模式的DeFi1.0模式,NFT(non-fungible token)是一个相对更新的概念,每个NFT有独特的价值,不能被复制,不能被替代。
HDAO作为去中心化的金融服务生态系统,一直致力于创建一个高效、透明和可实现的数字金融生态系统。据HDAO主席Ben Leff先生介绍,HDAO NFT流动性挖矿将于近期开启节点竞选,社区投票,NFT代币铸造,流动性挖矿等活动。[2020/9/16]
Sudoswap、NFTtrader 在磋商完成后需要用户发起一笔交易,这一步骤会生成一个订单确认网站,双方确认后交易会通过智能合约自动进行。子在一开始会假装与你商议交换哪些 NFT,并先为你展示一个真的网站链接,随后提出对交易进行修改,在交易者放松警惕后,子会发送一个链接,用户点击确认交易后,钱包中对应的 NFT 便会被发送至子的钱包中。
子会通过各种手段诱导用户将私钥或助记词发送给自己,比如搭建网站、假装自己是来帮助用户的管理员等,种种行为均是为了降低用户的警惕,伺机走私钥和助记词。
虚假 NFT 合集是在很多热门项目发售前最容易遇到的。当 NFT 盲盒正式上线前,子会提前在 OpenSea 等 NFT 交易平台上传名称类似的 NFT 合集,并且提前通过官方释放出的信息精美的「装修」好这个合集。真正的 NFT 合集在没上线的情况下,用户优先会搜索到名字最为接近的合集。有些子为了让用户相信还会制造几笔交易,给当前挂单的假冒 NFT 发送 Offer 出价。
为了节省平台和项目方的版税抽成,社区成员之间会进行私下交易,除了上文所谈到的通过仿造 Sudoswap、NFTtrader 网站之外,也有子通过在社区频道发送略低于地板价的假 NFT 合集链接。用户往往会在急于抢购低于地板价 NFT 时忽略了 NFT 的真实性从而受。
大部分的 NFT 平台都会要求用户绑定邮箱,以方便用户能够第一时间知道自己 NFT 的交易情况,因此邮箱也成为了泛滥的聚集地。子通常会伪装成 OpenSea 平台的官方账号,以合约地址需要修改或钱包需要重新验证等方式向用户发送钓鱼网站链接。近日 OpenSea 在公布合约升级之后,黑客便是以这种方式取用户财产近 400 万美元。截止撰稿日期,OpenSea 团队仍然在排查受损用户。
无论黑客采用何种天花乱坠的包装,和如何令你意乱神迷的语言描述,在最终他盗走你的加密资产之时,始终需要一个和你的钱包发生交互的途径。普通用户或许不具备辨别合约风险的能力,但幸运的是,我们至今仍处在一个 web2 所主导的互联网世界。几乎所有的加密合约都需要借助一个 web2 的前端网页来和用户交互。
因此,几乎绝大多数面向用户(而非项目方)的加密资产盗窃都是发生在仿冒的钓鱼网站之上。而一旦了解了如何鉴别钓鱼网站,将足以帮你避开 99% 的加密资产盗窃。
对于伴随着智能手机成长起来的 Z 世代来说,他们生活在一个又一个 App 营造的「生态」之中,对于 web 网页这个陈旧的事物或许已经疏于了解了。在 web2 时代,DNS 域名系统为每一个网站赋予了全网唯一的身份标识,了解域名构成的基本规则,将足以应对几乎全部的虚假钓鱼网站。
在传统的 DNS 域名中,域名层级分为三级。从第一个分隔符(/)开始从右至左阅读,每个句号分隔开一个层级。以 https://www.opensea.io/ 为例「.io」和「.com」、「.cn」等类似,被称为顶级域名,该字段不可自定义。「opensea」被称为二级域名,也即域名的主体,同一顶级域名(比如同为.io)下该字段不可重复。「www」部分则为三级域名,该字段网站运营者可自行设置。甚至运营者还可在「www」之前继续添加四级域名、五级域名。
域名的层级顺序是反直觉的:即从右至左层级逐渐降低。这一设计与大多数人的阅读习惯恰恰相反,也让攻击者有了可乘之机。举例来说,https://www.opensea.io.example.com 该地址虽然和 opensea 地址高度相似,但其实际域名却为「example.com」而非「opensea.io」。
Web3 是否还有钓鱼攻击我们尚且难以预测。但在 Web2 的世界里,DNS 域名系统确保了域名(或者说网址)的唯一性,在域名为真的情况下,用户几乎不可能打开虚假网站。
Crypto 钱包不像 Web2 的电子邮件等账户,私钥与助记词无法修改、找回,一旦泄露就意味着这个钱包将同时归属于你与黑客,你钱包内所有的资产都可以随时被黑客转移,而由于以太坊地址的匿名性,你也无法查明黑客到底是谁,损失自然也无法追回,这个钱包也不能再继续使用。
如果你已经在网站授权钱包,可以及时前往以下三个地址检查钱包授权情况并及时取消:
https://etherscan.io/tokenapprovalchecker
https://revoke.cash/
https://debank.com/
作者:NFT Labs,律动研究院
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。