NFT:黑客开始瞄准 NFT 这份 NFT 防盗入门指南请收好_toncoin币最新消息

学会安全存储你的NFT资产，并避免遭受。

原文标题：《NFT防盗指南：如何保护资产安全？》

随着NFT用户数、交易量和市值的不断攀升，钓鱼者、黑客等不法分子也开始瞄准这个市场，进一步威胁NFT生态的安全。

区块链安全和数据分析公司PeckShield编写的表格显示，在一次钓鱼攻击中，254个总价值约为170万美元的NFT遭到盗窃；愚人节当天周杰伦的NFTBAYC#3738被盗走，该事件是典型的由钓鱼网站诱导mint从而获得用户NFT操作权的案例；一个名为MoonManNFT的项目，该项目借由freemint的名头，盗走了近400个NFT……

一般来说，黑客会通过Discord和Telegram锁定收藏者，并通过诱导mint、钓鱼攻击等方式盗走用户的NFT资产。随着当下技术发展，NFT投资者和收藏者必须及时了解保护资产的最新方法。

NFT安全存储基本知识

请牢记：

你的NFT并非储存在电脑或移动设备上，而是在IPFS或Arweave这样的去中心化空间。

拥有私钥，就有了对区块链/你的资产的完全访问权限。

白帽黑客：2025年区块链游戏市场规模可能会增长到397亿美元:1月23日消息，白帽黑客ninjagazden发推表示，区块链游戏的市场规模已从零价值增长到2021年的30亿美元。到2025年，它可能会增长到397亿美元，占据传统收入1511亿美元的视频游戏市场的很大一部分。[2022/1/23 9:08:07]

Shamir私钥分割方案能为助记词提供二级保护。

1.你的NFT储存在哪里？

NFT并非储存在冷钱包、PC端或热钱包中。NFT是位于以太坊区块链上的代币，由全球2400多个运行中的网络节点承载。NFT受到完全去中心化系统的支持，它能确保NFT生态正常运转，也能够验证线上交易。当你进行NFT交易时，实际发生的活动是数据库对该NFT的地址进行更改。

2.你的图片、动图和音乐在哪里？

NFT的URI标记了图片的位置。NFT一般位于像IPFS或Arweave等去中心化存储空间。在Web2中，也有AWS这样的中心化存储器。

3.钱包

钱包是一个储存私钥的软件，能够支持交易活动。钱包分为两种：热钱包和冷钱包。

Rekt将黑客赠送的10万枚DAI返还给Pancakebunny:加密行业媒体Rekt在推特上表示已经将被盗的100,001枚DAI还给Pancakebunny，并附上了转账哈希。

注：Pancakebunny此前遭到黑客攻击，黑客将所获得的一部分资金（10万枚DAI）发送给了专注于报道黑客事件的Rekt。随后Rekt表示无法用被盗的资金建立自己的品牌，而Pancakebunny官方也表示希望Rekt能够返还这笔资金，并提供了接收地址，Rekt在6月1日正式将这笔资金返还。[2021/6/1 23:02:49]

热钱包：能够在通用设备上运行的软件，能Web3连接，只需点击鼠标就能接收资产。

冷钱包：专用于硬件设备，能与Web3连接并接收资产。它与热钱包的主要区别是，冷钱包的助记词从不联网，若要进行交易，必须通过物理手段批准。

选择了合适的钱包后，你需要了解它的功能：

首先，热钱包/冷钱包会要求你创建一个密码，此密码在特定设备上是唯一的。只有知道密码，才能访问钱包。

你可以自由分享钱包的公共地址，此地址与Web3的电子邮件地址没有区别，知道了你的地址，任何人都能向你发送NFT。这也就催生了新的黑客攻击载体。黑客会向人们发送NFT，当人们与该NFT互动时，黑客就会窃取此人钱包中的资产。请谨记，不要点开陌生NFT！此外，人们也会利用流氓签名或批准来获取你的IP地址。

币安智能链上Meerkat Finance项目金库合约遭遇黑客攻击:刚刚，微博大V“超级比特币”在微博表示，“BSC链上山寨羊驼defi项目跑路，三小时1300万美金。唉，土狗别冲啊！”

社群信息显示，DeFi项目Meerkat Finance金库合约遭遇黑客攻击，黑客利用漏洞盗取了金库中的全部资金。

金色财经在此提醒用户，挖矿有风险，投入需谨慎。[2021/3/4 18:15:16]

钓鱼邮件也是寻常的方式。邮件的目的是引诱你把钱包连接到虚假网站，以便黑客窃取资产。所以，千万不要点开陌生链接！务必时时检查网站名称。目前黑客攻击的方法比较单一，只能从公共地址和电子邮件下手，只要不理会它们就可以了。

你要保管好私钥，它是访问你的公共地址的密码，私钥的功能有：

将你的NFT移出地址。

签署合同，来证明你拥有该地址的私钥。

公共地址和私钥最大的区别是，你永远也不能向任何人透露自己的私钥。否则，他们就能把你的私钥导入他们的钱包，窃取你所有的资产。

明确了私钥和公共地址的概念，我们再来看一下助记词。助记词一般由12、18或24个单词构成，用于找回钱包。如果丢失私钥，你可以使用助记词新建一个。与私钥一样，助记词永远不能被第二个人知道，也不能存储在电子存储设备或服务商中。最理想的方式是物理存储，比如写在纸上。有人也使用铁制品存储助记词，因为它更加防火。其他方式，例如口令，也能增加钱包安全性。口令是一串符号或单词，将其与助记词结合，就能在原有钱包的基础上创建新钱包。打个比方，若要在原有钱包的基础上创建新的钱包，只需输入：

黑客利用虚假的新型冠状病地图传播恶意软件:在线安全研究人员警告，黑客发现了另一种利用新型冠状病爆发的方法——通过恶意新型冠状病地图感染人们。许多组织已经创建新型冠状病地图来跟踪病及其传播，许多人依靠它们来跟踪最新的感染数字。来自Reason Labs的Shai Alfasi最近报告称，黑客正在制作此类地图和仪表盘的假版本，以窃取信息。他们需要的数据包括密码和用户名、信用卡号码以及他们可以收集的任何其他敏感数据。虽然真正的地图在用户进入网站时就能提供信息，但这些假地图需要用户下载一个应用程序，帮助他们跟踪新的进展。但是，即使用户不安装应用程序，也可能受到感染。据目前所知，这些恶意软件似乎只会影响Windows设备，不过专家认为，其他系统也会受到感染只是时间问题。同时，Alfasi表示，假的新型冠状病地图使用恶意软件AZORult感染用户的设备。他补充说，该恶意软件激活了其他恶意软件。它就像一个信息窃贼，从2016年就开始存在了。除了窃取敏感数据外，它还可以在受感染的设备上安装其他恶意软件。他还指出，这些恶意软件在俄罗斯地下网络论坛中最为常见。（Beincrypto）[2020/3/18]

助记词+「NFTGo」

助记词+任意数字

动态 | EOS上的DAPP共遭遇35起黑客攻击 项目方累计遭受损失72万个EOS:据华尔街见闻统计，截至12月19日，EOS平台上的DAPP应用共遭遇了35起黑客攻击，波及EOS DAPP近30个。除去部分未披露损失情况的应用，项目方已累计遭受损失达72万个EOS，按照现价（18元/EOS）约合1296万人民币。从攻击对象上看，黑客似乎格外青睐竞猜类DAPP应用，91.2%的攻击对象是竞猜类游戏；从受损情况上看，12月份受损金额为近5个月最高，31.65万EOS（约570万人民币）。[2018/12/19]

助记词+任意字母

助记词+任意短语

上述任一方式都能创建一个具有不同私钥公共地址的新钱包，但口令这一功能只对冷钱包适用。

4.添加第二层保护

购买冷钱包是提升安全性的有效途径。Trezor，Ledger和Keystone是几款最受欢迎的硬件钱包，但各自有优势和不足。每种冷钱包都有其特色。比如Keystone使用二维码进行数据传输，避免了木马病通过USB接口或者蓝牙被传输到硬件钱包的风险，同时也是首个支持ENS(EthereumNameService)的硬件钱包，免去了核对原始地址的麻烦。此外，用户可以用NFT自定义其4英寸的屏幕。

我们以Keystone为例进行设置。

从官方网站购买Keystone钱包。

安装Keystone套件。

启动Keystone。

设置你钱包的PIN——专属于此设备的口令。

如果是企业使用的话，推荐使用Shamir私钥分割方案，把2组助记词分成3组，或把3组助记词分成5组，你可以把这3组私钥保存在不同地方。如果你有5个Shamir备份中的3个并且丢失了其中2个，你仍然可以使用剩余的3个备份来恢复您的钱包。

我们以转移一个BAYC为例具体来看NFT硬件钱包的使用。在Keystone中，用户可以使用microSD卡中上传的ABI数据文件快速确认地址的真实性，地址旁边会出现蓝色字体的「BoardApeYachtclub」，还需要确认该交易是否涉及任何恶意行为，以免将您的NFT签署给者或黑客。

避免NFT的方法

1.务必从官网下载Web3app或钱包

导致加密/NFT黑客攻击的主要原因是用户对非官方网站的访问。绝大多数此类网站是为了行而建立，看上去与官方网站极其相似。不要从GooglePlay下载Web3app，它们可能不是从原始渠道获取的。你可以参考以下建议，来鉴别官方网站：

关注网址栏。只点击以https://开头的网址，「s」代表「安全」，表示该网站的数据是加密传输的，能阻止黑客攻击。

检查域名。黑客最青睐的伎俩就是创建山寨网站，其域名与正版网站十分相似，只有双击才能察觉区别。例如，https://wobble.com这个网站的山寨版可以是https://w0oble.com。请记得时时双击域名的所有字母。

留心拼写错误。多数虚假网站是粗糙赶工而成，拼写、读音、大小写和语法都会出错。

2.只浏览官方频道、官方推特和官方链接

前面提到，你只能相信官方网站、推特账号和discord。你可以参考下列建议来验证：

检查账户活动。

检查粉丝数。

检查账户历史。

检查评论和参与度。

3.不要与任何人共享登陆凭证或私钥

有句话在加密圈十分流行：「无钥即无币，币钥为一体」。一旦你的私钥或助记词被分享出去，这个账户就再也不属于你了。最好的做法，是不让其他人拿到私钥。

4.先验证NFT再购买

在NFT生态系统中，尽职调查总是非常重要。购买或铸造NFT之前，务必要检查项目涉及到的团队的声誉，其社区中的有机互动，以及人们对该项目的看法。

5.使用多个钱包铸造NFT

比如，Burner钱包是专为NFT铸造创造的二级钱包。这些钱包都是以铸币所需的gas数额来创建并注资。铸币完成后，铸成的NFT被发送到另一个钱包，它的作用是存储NFT。这就减少了主钱包与易被攻击网站互动的风险。你可以创建多个burner钱包，一旦发现漏洞，就立即丢弃它。

6.谨慎点击陌生账户的链接

黑客的常见术，是通过陌生的Discord账户或冷邮件发送赠品或白名单链接。务必将Telegram、Discord和邮件设置为不接收陌生账户或非官方地址的消息，也请提防用户假扮群主或官方DM你。

7.检查令牌批准&撤销不使用的令牌

人们每天都与不同的协议和链接互动，基于智能合约上的信息给予其访问权限和许可。时常审查和撤销访问权限十分重要。https://revoke.cash/网站可以帮您取消访问权。

8.进行下一步之前，仔细阅读并核实智能合约的交易条款

确认交易前，务必确保自己认真阅读了智能合约中的每个细节。很多黑客利用智能合约取许可，从而随意访问你钱包中的资金。你要认真阅读，确保合约中的细节不会构成威胁，也不是存在漏洞。

9.紧跟新闻，了解新漏洞

结语

人们对NFT市场的兴趣日益增加，不法分子也潜伏其中，利用伎俩从收藏者和投资者手中偷取作品和资金，请确保自己的宝贵资产、钱包和资金不落入黑客手中。

标签：NFTSTONYSTTONSODIUM Vault (NFTX)StoneDAOyst币最新行情toncoin币最新消息

SOL热门资讯