过去一段时间,针对NFT的盗窃事件层出不穷。方式多种多样,虚假链接、空投欺诈NFT、侵入DISCORD发布虚假铸造链接等,许多玩家不小心点击之后,遭遇财产损失。面对频繁出现的局,玩家该如何保护自己的财产安全?针对这个问题,LooksRare、NFT社区SCC以及知名安全团队慢雾,于2022年5月12日晚上举行推特space,来谈谈NFT玩家该如何保护自己的NFT资产。常见的NFT欺诈和盗窃方式都有哪些?
1.钓鱼网站
最常见的是,黑客注册一个和项目方域名很相似的假域名。如:https://opensea.io是真实地址,https://opens?a.io是钓鱼地址。仔细看那个?并不是英文字母e,非常具有迷惑性,这种字母是Punycode的一种编码方式。黑客往往会在一些社区平台上去发布这些域名,可能还会伴随着虚假消息诱导用户访问。在钓鱼网站方面,LooksRare已经联合第三方共处理了124个LooksRare的虚假网站和129个虚假社交账户。除此之外还有一些其他类型的钓鱼攻击场景:●攻击者发布虚假项目并宣传空投活动,在用户使用metamask登录虚假项目网站的时候,攻击者构造了NFT交易签名内容(用于OpenSea挂单撮合)诱用户完成签名才能登录。用户签名之后黑客利用签名的内容用低价将用户的NFT买走。●攻击者冒充用户在discord发布钓鱼图片诱导用户访问钓鱼网站。●攻击者发布伪装成正常软件的木马程序,让用户运行。2.攻击项目方的社区平台
Web3高尔夫公司Play Today完成120万美元种子轮融资,Clive Mayhew领投:1月5日消息,Web3高尔夫公司Play Today完成120万美元种子轮融资,Clive Mayhew领投。Play Today开发了一款集成到高尔夫计分应用程序、高尔夫NFT Marketplace和高尔夫MetaVerse中的消费者数字钱包,这是世界上首次使用Web3技术,将高尔夫的实体游戏与数字钱包和沉浸式在线社区体验联系起来。
Play Today数字钱包可以提供无数的会员福利,包括解锁对独家Play Today全球在线社区的访问权限,以及只有使用基于区块链的创新技术才能实现的一系列高级功能。[2023/1/5 9:54:04]
例如盗取项目方的社交平台(Discord,instagram等)。Discord的钓鱼手法:1)利用浏览器恶意书签盗取DiscordToken;2)取项目方人员直接在网页版Discord上输入恶意代码,从而盗取DiscordToken。攻击者得到项目方的DiscordToken后,就能登录项目方的Discord账号,然后在项目方Discord服务器发布虚假信息,引导用户在虚假网站上进行交互从而盗取用户的NFT等加密货币资产。3.中间人攻击
印度风投Fundamentum第二支基金完成2.27亿美元募资,将专注于Web3和电动汽车等领域:金色财经报道,印度风投Fundamentum宣布旗下第二支基金已经完成2.27亿美元募资,其中25%的资金来自于Fundamentum团队,该风投曾在今年五月透露这只基金将专注于Web3和电动汽车等领域的投资,据悉该基金每年将选择4-5家初创公司进行种子轮阶段的投资,预计投资规模将在2500-4000万美元之间。Fundamentum的第一支基金曾募集到1亿美元,由Nandan Nilekani和Sanjeev Aggarwal于2017年推出,目前担任该风投联合创始人兼普通合伙人的Sanjeev Aggarwal透露,得益于首支基金的成功,他们才打算进一步深化投资计划。(recentlyheard)[2022/8/20 12:37:14]
中间人攻击方向有很多种,比如DNS劫持和BGP攻击等。域名劫持又称DNS劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址。BGP劫持是指攻击者恶意重新路由互联网流量的情况。攻击者通过不实地宣布实际上没有拥有、控制或路由到的IP地址组的所有权来实现此目的。BGP劫持就好比有人改变一段高速公路上的所有标志,将汽车重新引导到错误的出口。4.代码供应链攻击
谷歌云正在招聘全球Web3产品营销负责人:5月25日消息,谷歌云(Google Cloud)正在招聘全球Web3产品营销负责人。根据招聘简介,除了最终建立客户对相关产品的需求之外,该职位还将负责提高人们对谷歌云Web3计划的认知。工作地点仅限于纽约、旧金山、西雅图和桑尼维尔。
据此前报道,谷歌云成立Web3团队,将提供服务帮助开发者构建Web3应用程序。(Cointelegraph)[2022/5/25 3:41:00]
代码供应链攻击是一种针对软件开发人员和供应商的攻击方式。攻击者将内置后门的代码上传到公共存储库,其他开发人员如果不注意对代码进行安全审核,就可能将有害代码应用到自己的开发环境,继而在分发自己开发的软件时,将恶意程序传播给更多用户。案例:npm投攻击
攻击者发布恶意的npm包进行投,伪装成官方的开发包,盗取助记词和数字资产。慢雾安全团队在05月03日发布安全提醒,攻击者发布恶意的npm包:pensea-wallet-provider,os-wallet-provider。并在伪装的NFT开源项目中偷偷引入这些恶意的包或开发人员使用恶意的npm包来盗取用户的加密货币私钥或助记词。5.空投假的nft
RareLink联合创始人:当前从Web2彻底转向Web3的过程中仍有两个绊脚石:3月17日消息,在“New Paradigm”系列活动第一期《Web 3.0的下一代基础设施是什么?》主题分享中,RareLink联合创始人Kai-Tai Chang认为,当前从Web2彻底转向Web3的过程中仍有两个绊脚石。一方面,许多自称去中心化的应用程序远非真正去中心化:所产生的数据依然储存在中心化的企业云上,因此它们的访问仍然依赖于传统的基础设施。另一方面,许多Web3的应用程序仍旧在交易费用昂贵,吞吐量有限和外部设施非常基础的以太坊底层上运行,因此其可扩展性十分有限。[2022/3/17 14:03:00]
给蓝筹持仓用户空投虚假NFT,这类型的nft完全没有价值,当你点击进去,也是给黑客机会。NFT玩家该如何保护自己的资产安全?
1.黑暗森林法则:一是零信任。简单来说就是保持怀疑,而且是始终保持怀疑。二是持续验证。你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。具体的内容可以查看慢雾出品的《区块链黑暗森林自救手册》2.对于交互网站,需要交叉核实验证真实性。对于NFT新项目、土狗项目,建议使用新钱包,不使用主资产钱包。3.重视授权,对于登录网站需要做好验证,对于授权尽可能了解内容。经常使用https://revoke.cash/网站上查看自己是否有可疑的授权历史。4.警惕邮件。一定自己去平台官方网站看,而不是通过邮件点过去。欺诈者可以伪造相似的网站、用户名、头像、email等。5.钱包被盗之后,无论是何种原因被盗,都建议更换新钱包。6.任何时候,都不将助记词和私钥交给别人。7.尽可能学习使用冷钱包。LooksRare作为NFT交易平台采取了哪些安全措施?
日本议员建议日本将Web3.0作为国家战略的中心:3月11日消息,日本自民党代表盐崎明久今日在众议院财政金融委员会上表示,日本应该将Web3.0作为国家战略的中心,并任命一位负责Web3.0的官员。他表示,鉴于美国总统拜登发布的加密行政命令,日本也应该更早地宣布一项政策,提高政府在加密货币领域的优先级,而不仅是加密货币资产,还包括Web3.0大经济领域。他补充道:日本有动漫和游戏、丰富的IP内容及人力资源支持。然而,现在很多人担心税收和监管问题可能会阻碍区块链经济的发展。(CoinPost)[2022/3/11 13:50:53]
LooksRare作为NFT交易平台,在交易端上也采取系列措施,可以使得用户能够更安全地进行交易:1.明文授权LooksRare是第一家采取EIP-712签名的交易平台,EIP-712是在用户签名的时候,可以清楚的看到你签名的内容,而不是一串64位复杂的乱码。之前opensea的挂单签名就是一串乱码,用户完全不知道自己签名内容是什么,也因此让很多黑客有机可趁。OpenSea在LooksrRare之后也使用了EIP-712签名。2.提示是否查看NFT的完整信息NFT的形式有html和javascript这种动图形式,用户在LooksRare查看这些NFT的时候我们会多次询问你是否查看这些NFT的完整内容,需要用户多确认一次。我们希望优先考虑用户安全和隐私。因为这类型的NFT中可能包含跟踪像素和其他具有恶意行为的代码。单击该链接,恶意NFT会自动加载并获取用户的IP、设备信息等。虽然大多数的nft项目方并不会作恶,但不会排除小部分黑客会抓到这个漏洞。
3.提示取消挂单当用户有正在挂单的NFT,但是后来NTF被转走了,官网会有一个非常刺目的感叹号来提醒用户取消当前挂单,因为如果用户忘记挂单之后NFT暴涨,NFT转回来后这个挂单其实还会在的,LooksRare会在前端页面隐藏掉你的挂单,给你时间来取消或者激活挂单。保证其他用户在你重新激活或者取消挂单前无法在前端看到这个挂单。
4.未认证的NFT系列需二次确认LooksRare会根据交易量,持有用户数量来判断是否是真实的系列,未认证的系列也会有二次提醒用户使用正确的合约地址再搜索一次。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。