NFT:NFT防范指南：一文了解常见的NFT手法_NFT币

加密行业的黑暗森林危机四伏，NFT被盗事件和金额逐年增多，本文将梳理常见的局类型及防范技巧。

加密行业的黑暗森林危机四伏，暗藏着各式各样的危机与陷阱，资产被盗的剧情经常上演，热门赛道NFT和知名玩家们亦不能幸免。NFT项目Moonbirds创始人Kevin Rose在1月25日证实，其个人钱包遭到黑客攻击，共丢失25枚Chromie Squiggles以及其它NFT。

随着NFT被盗事件和金额增多，本文PANews将梳理常见的局类型及防范技巧。

NFT市场规模与日俱增的同时，“零元购”被盗事件愈发频繁，且攻击手法层出不穷。

1、虚假广告窗口

近期，加密KOL NFT God发推称，因黑客入侵其Twitter、Substack、Gmail、Discord和钱包，导致其损失全部加密资产和NFT，黑客还通过盗取的账号发布链接。被黑原因为此前在新设备上把Ledger设置为热钱包而不是冷钱包，助记词在联网电脑上的钱包导入使用后，然后在下载视频流软件OBS进行游戏直播后，点击了谷歌上的赞助商链接下载了恶意软件，使黑客可以访问其资金。实际上，谷歌的广告允许任何人绕过排名并在搜索结果排在第一位，而用户点击这类展示广告的概率非常高，这也为提供了更多可能性。

NFT市场Rarible宣布将其平台升级至Rarible 2:金色财经报道，NFT市场Rarible周四宣布将其平台升级至Rarible 2，Rarible 2引入了新的聚合工具来展示来自NFT，这意味着用户可以从Rarible、OpenSea、LooksRare、X2Y2和Sudoswap浏览和购买基于以太坊的数字资产，并且支持一键购买多个NFT。

Rarible 2还引入了一种机制，用户可以锁定他们的RARI（市场的原生代币），以获得生态系统参与的奖励和激励，解锁更多好处并通过RARI基金会管理Rarible协议。[2022/10/21 16:33:33]

2、虚假空投诱

“高价”收购被空投NFT是种新型手段，受害者在收到一些不知名的NFT空投后，会被者开出高价进行收购。如果投资者选择交易该NFT，会在因一些特殊原因导致交易报错提示时进入虚假的钓鱼网站进行授权，最终导致自己资产被盗。

CoinMarketCap推出惊魂之夜NFT:10月29日消息，CoinMarketCap宣布推出惊魂之夜NFT，以庆祝万圣节。据悉，该独家NFT由NFTb平台的艺术家Pixel Queen创建，为CoinMarketCap忠诚度奖励计划相关奖品之一，用户只可通过CoinMarketCap平台为用户提供的钻石道具购买。[2021/10/29 6:19:57]

3、伪造NFT

今年3月，日本东京的Whitestone发布一起NFT相关诈欺公告，表示有非官方人士假借白石画廊之名义，贩售知名艺术家草间弥生之NFT。其实，市面上有不少者通过剽窃艺术家作品并在NFT市场上架假版本，使得不少人购买了无任何价值假NFT。不仅如此，还有些局会在NFT交易平台上传名称相似的假冒项目，甚至还会创建几笔交易来迷惑用户，对于一些习惯使用搜索功能的用户而言非常容易中招。

经济学家：NFT 是一种可以用加密货币购买的资产:金色财经报道，国际食品安全局和经济学家Carlo RW De Meijer发表博客文章，Meijer表示，NFT 是一种可以用加密货币购买的资产。两者都是区块链世界中的关键元素的代币。区块链技术和 NFT 为艺术家和内容创作者提供了一个独特的机会来将他们的商品货币化。例如，艺术家不再需要依靠画廊或拍卖行来出售他们的艺术品。他们可以将其作为 NFT 直接出售给消费者，这也让他们保留了更多的利润。

通常，大多数艺术品都经过物理分类，这使它们面临被盗或复制的风险。NFT 可以通过允许艺术家在区块链网络上保留实际副本的记录，在一定程度上消除这些缺点。顶级 NFT 创建了一个生态系统，艺术家可以通过在链上记录元数据来验证其作品的实际所有权。

大多数出售 NFT 的网站还允许内容创建者在其内容的后续销售中添加版税系统。这样做时，他们可能会在他们的艺术品出售给新主人时获得一定比例的销售额。重要的是，艺术家每次 NFT 易手时都会受益。这被视为一个有吸引力的特征，因为艺术家在他们的艺术品首次出售后通常不会收到未来的收益。（finextra）[2021/11/1 21:13:21]

4、虚假电子邮件

NFT数据：Anonymice 24小时成交量涨幅达210.05%:10月5日消息，据CryptoSlam最新数据显示，过去24小时成交量排名前十的NFT项目及其成交量涨跌幅如下：Axie Infinity（+50.23%）、CrypToadz（-30.09%）、CryptoPunks（+88.40%）、The Humanoids（+41.23%）、Art Blocks（+7.54%）、Cool Cats（-27.79%）、CyberKongz（-30.07%）、GalacticApes（-43.68%）、Anonymice（+210.05%）、Bored Ape Yacht Club（-20.60%）。

其中，Anonymice 24小时成交量领涨（+210.05%），为303.7万美元；GalacticApes 24小时成交量领跌（-43.68%），为330.6万美元[2021/10/5 17:25:16]

今年2月，OpenSea官方进行智能合约升级，用户需将他们在以太坊上的NFT列表迁移至新的智能合约中。黑客趁机伪装成官方给用户发了一封升级提醒邮件，不少防范意识不强的用户对钓鱼链接进行了钱包授权后导致NFT资产被盗，包括Bored Ape Yacht Club、Cool Cats、Doodles和Azuki等。

日本加密货币交易所Coincheck与Dapper Labs合作将NFT引入日本:据官方消息，日本加密货币交易所Coincheck宣布与Dapper Labs合作，将NFT引入日本主流受众。Coincheck将选择上架一系列NFT，首款上架的是Flow区块链上发行的CryptoKitties。[2020/10/6]

由于不少NFT项目要求用户进行邮箱绑定来第一时间获取消息，这也使得很多攻击者冒充官方并以合约地址修改、钱包重新验证等由向用户发送钓鱼链接，因此邮箱也成为了的重灾区。

5、官方被黑或被伪装

或因员工被钓鱼攻击、下载恶意软件、未设置双重认证等多方面原因，NFT项目的官方账号也常常被黑。2022年4月，Bored Ape Yacht Club官方Instagram帐户遭到黑客攻击，黑客利用该Instagram账户分享了一个仿冒无聊猿游艇俱乐部网站的欺诈链接，其中包含让用户将他们的MetaMask连接至钱包以参与虚假空投，随后黑客窃取了价值超过280万美元的NFT。同年6月，Yuga Labs的Discord服务器被黑，攻击者利用该账户在官方BAYC及元宇宙项目中发布钓鱼链接后获利。

当然，还有些者通过伪造NFT项目的官方账户并取得用户信任后，会发送钓鱼网站让他们签名，即不花费任何资金就可购买账户内的NFT，而大部分用户是无法辨别由一串数字和字母组合的签名内容中的问题。此外，私信链接是是常用的行方式，他们往往会通过Telegram、Discord等平台中的各类社区批量私信成员，甚至冒充管理员来取用户的钱包私钥。

6、生成相同尾号地址

通常而言，大部分用户只会通过检查合约地址前后位数来判断地址是否正确，这也给了攻击者机会。他们会利用用户复制历史交易记录中过往地址的习惯，伪造一份前后相同位数的合约并不断空投小额数量的Token，若用户不仔细检查完整地址则很容易被盗取资产。另外，除了相同尾数局，零转账的链上地址投攻击也需警惕，不少用户会将该地址当作可信的交互地址。

链上操作是不可逆的。被盗取资产后，大部分人其实很难再找回，特别是没有任何技术技能的普通用户。那么，该如何避免自己资产被？

1、保护好私钥或助记词：与电子邮件、社交平台等Web2账户泄露可更改密码不同，私钥与助记词作为钱包的“钥匙”无法修改与找回，一旦泄露资产就会被洗劫一空。攻击者会通过NFT空投/抽奖、Free Mint等FOMO情绪诱导用户发送自己的私钥或助记词，甚至还会伪装成官方管理员、搭建假域名网站等种方式来降低用户的警惕性。

2、收藏常用网站并甄别官方社交账号：虽然钓鱼网站是最容易被识别的，但NFT资产被盗的主要原因之一。实际上，这类网站无论被包装的多精美（可检查域名、网址拼写等），最终目的是与钱包交互，用户应该保持谨慎态度，收藏经常使用的官方网站，从官网进入社交账号（可通过粉丝数、账户活动、评论参与度等方面进行判断），及别轻易点开私信或邮件分享的链接将很大程度上避开资产被盗的可能性。另外，虽然大部分用户不具备辨别合约风险的能力，但通过安装反网络钓鱼插件，也将有效协助识别部分钓鱼网站。

3、资产隔离并定期检查：使用多个钱包参与NFT交易和铸造等行为，且储存资产和应用交互的钱包需做好隔离，特别是存有大额资金的钱包应避免任何交互。此外，用户还需定期检查钱包是否存在与异常合约交互并及时取消授权。

4、多方信息交叉认证：在参与和铸造NFT前尽职调查非常重要，用户可通过检查社交账户是否验证、多个渠道交叉检查项目信息等方式来评估。

5、仔细核对地址：对于任何转账行为，用户需检查完整的合约地址，也可使用钱包的地址簿转账功能通过直接选择地址转账。另外，对于一些参与项目的合约地址，用户可从官方渠道获取地址，避免被中间攻击者修改。

当然，随着技术的不断进步，资产盗取手法也在与时俱进，因此一旦自己的资产被盗，用户需第一时间隔离自己的资产并更改社交账号密码等个人信息，同时还需告知其他被账户的相关信息。若是病性攻击，还需将电脑等设备进行断网。此外，用户还可以寻求专业的安全公司进行资金追查，以最大程度弥补资金损失。

Nancy

个人专栏

阅读更多

金色财经

金色早8点

Odaily星球日报

Arcane Labs

澎湃新闻

深潮TechFlow

欧科云链

链得得

MarsBit

BTCStudy

标签：NFTARIRARIIBLNFT币SolarisFERRARI价格shibl币发行量

火币网下载官方app热门资讯