NFT诈骗和盗窃已经变得越来越普遍--你可以采取一些措施来防止这种悲剧发生。
转载请微信联系:huangdiezi,更多DAO、Web3、NFT、Metaverse资讯请关注老雅痞👇
去年对NFT来说是史无前例的一年。从蓝筹股系列到名人系列到社区meme文化驱动系列,与12个月前相比,NFT市场像一颗冉冉升起的骄阳给全球网民增添了无限的文化星光。
虽然NFT给加密世界的项目带来了流动性、暴富机会,但也吸引了大量潜在的骗子。由于NFT世界的分散性,许多人容易受到一些骗局的影响。而且在许多情况下,没有人可以做什么来对付它们。
骗子们变得越来越狡猾,每天都有人在推特上说失去了他们最珍贵的NFT数字资产。NFT玩家们需要比以往更加谨慎。以下是一些保护你NFT数字资产的方法:
主要目标
NFT领域仍处于实验阶段;许多人将其比作 "西部淘金热"。因为没有法律条文的监管,所以你不能向 "司法机关 "报告你的损失。然而,NFT市场在2021年仍然产生了数十亿美元的收入。这就是NFT被骗子们视为完美温床的原因。
"蓝筹 "NFTs是骗子们最多的目标,也许没有比Bored Ape Yacht Club安全事故更频繁的项目了,它现在拥有96 ETH的底价。这意味着诈骗者只需设置一次钓鱼点击就有可能赚取数十万美元。因为NFT项目基本全是建立在社区文化驱动下,匿名的诈骗者仍然很容易渗透到对话中并操纵持有人。所以,玩家们真正需要谨慎判断真假的次数只有一次。
区块链和NFTs提供了自主权,但它也意味着我们要对我们的资产负责--没有银行为你看管它们。了解不同类型的骗局将有助于保持你的NFTs资产安全。
骗局的类型
伪造mint页面
通常在备受期待的NFT项目投放期间,会有许多账号在Opensea中乱入,这可能会使人难以核实哪个是合法的NFT收藏集合,尤其是在收藏品没有得到验证的情况下。随着FOMO情绪的蔓延和时间的流逝,许多收藏家没有采取额外的步骤来验证资产的来源,他们铸造了错误的NFT。
不久之后,非法的收藏品和该NFT一起从OpenSea被删除,但骗子仍然拥有买家的钱。这种情况最近发生在Punks Comic身上,许多人被骗到一个假的OpenSea页面上进行铸币,损失了数百美元。
应采取的步骤:
切勿点击无法核实的链接。
仔细检查域名链接--一个诈骗网站往往只需一个不同的字符就能区分出来。
首先通过去NFT项目官方的Twitter或Discord确认你正在铸造验证的链接。
虚假空投
由于NFT存在于区块链上,你的钱包地址对每个人都是公开的,你的一举一动也是如此。这意味着任何人都可以与你的账户互动,他们可以不经询问就向你的钱包发送NFTs--就像空投一样。
骗子通常会向你的钱包发送NFT,让你与他们互动,并试图获得你的个人资料,所以最好不要与任何新的NFT互动,除非你已经验证了它们的来源。
冒名顶替
冒充也许是最恶意的骗局,它可能涉及各种方法。
最近,我注意到一个推特账户,它有我的个人资料照片,有我的简历副本,在推特上发布了一些与我自己相同的推文,并积累了5000名粉丝。我的账户和假的账户之间唯一的区别是,假的账户的用户名包括一个额外的S。比如NFTs1nsight而不是NFT1nsight。那个账户很容易骗过没有看到我真实账户的人。
我不能确定这个账户是如何运作的,或许是向潜在的诈骗受害者发送了广告,但我只能假设它是恶意创建的。这种骗局已变得越来越普遍,一些假账户增加了数千名粉丝,看起来还挺真实。
应采取的步骤:
有很多粉丝并不意味着一个账户是真实的。
一定要仔细检查推特个人资料和谁在关注该账户。
如果你确认它是一个假账户,就向Twitter报告。
还有品牌冒名顶替,即骗子同样创建一个档案,向黑客受害者提供支持,通常是在Discord或Twitter上。
虚假链接
骗子会向玩家的电子邮件发送虚假的OpenSea优惠信息,要求收件人点击 "查看 "按钮。这些链接通常会把玩家带到一个假的页面,要求玩家提供你的钱包和种子短语。(永远不要把你的种子短语发给别人。)类似的骗局在Discord上比比皆是。一旦骗子得到玩家的信息,他们会将玩家的所有资产转移到另一个钱包并出售,而且没有办法阻止他们。
许多骗子会以低价出售NFT,只是为了尽快的出货,而即使有疑问的买家也会直接把它们买走,而不是询问卖家如何获得它们的。有时在社区的努力下可以帮助受害者挽回损失,但这要看运气了。
一个案例研究:李鬼Jenkins
就在最近,著名的NFT项目Jenkins the Valet的Discord服务器被黑客入侵,因为一位版主分享了他的屏幕,他们就能够锁定Discord,禁止版主和创始人自己的权限。黑客冒充Jenkins,然后投放了一个虚假的mint链接到一个隐蔽的空投地址,许多成员认为这是官方行为。不仅链接与原网站的链接几乎相同,黑客们还创造了一个谈论mint的频道,禁止任何质疑所发生事情的社群群员。
不幸的是,许多人上当了,社区被骗走了几十个ETH。
首席版主被骗子通过Discord DMs欺骗,并指责“真李逵”是个骗子。在恐慌和混乱的时刻,他试图通过分享他的信息来证明自己的清白。他分享了自己的屏幕,这使得骗子能够入侵他的Discord,并控制了服务器。
第二个问题是,Jenkins并没有完全拥有服务器的所有权。正因为如此,他被禁言了,如果他拥有该服务器,这是不可能发生的。真李逵只需要把权限和所有权转移,重新获得控制权,就可以防止未来诈骗事件。
Jenkins团队对黑客攻击做出了果断的反应,从上到下重新启动了其Discord,通过机器人引入了24x7的审核,并进行了合约审计,并对在骗局中损失ETH的所有人进行了赔偿。Jenkins还赠送了一个Bored Ape Kennel Club NFT,作为对这一不幸事件的道歉方式。
一个小的好处是,经过黑客攻击意味着他们现在更有能力与未来的诈骗者作战。(你可以在这里阅读更多关于事件的时间线和全部情况
https://jenkinsthevalet.medium.com/our-discord-was-hacked-heres-how-we-re-dealing-with-it-c3b8e7a3c21)。
最佳安全实践
这里有更多的方法来保持你的资产安全:
确保你在点击链接之前已经验证了它们--千万不要点击由未知来源发送的随机或破损的链接。
永远不要分享你的屏幕。
在铸造任何东西之前,确保检查合同地址,其中应说明NFT是在哪里铸造的。如果它在OpenSea上被验证过,它应该是合法的。如果它看起来好得不像真的,它可能是真的。
不要与任何人分享你的恢复短语。把你的种子短语从你的手机和电脑上抄下来("冷存储"),在安全的地方有多个副本。
始终确认你是在经过验证的网站上铸币。
对许多人来说,由于机器人和骗子的滥用,完全关闭Discord DMs更容易和更安全。
将经过验证的网站(如OpenSea)加入书签--这有助于防止登陆虚假页面。
如果你需要帮助,你要先向官方发送求助信息,而不是社交媒体。
向信任的朋友提问,向官方团队寻求答案,不要害怕提出优先考虑你资产安全和保障的问题。
使用双重认证,这是一个额外的安全保障。
使用强大而独特的密码--每次创建账户时使用不同的密码是明智的。
使用硬件钱包,如Ledger或Trezor-这些冷钱包是离线的,所以除了你通过你的私钥外,没有人可以访问它。
DYOR。在你在NFT世界做任何事情之前,一定要研究这些藏品、卖家、合约、链接和其他细节。
在NFT领域要始终保持警惕。一次短暂的判断失误可能掏空了你的钱包。