请将此NFT防盗指南转发给周杰伦

作者：节奏研究所，NFTLabs

Crypto 的世界就像一片黑暗的森林，你周围可能潜伏着无数的危险。日前，有黑客利用OpenSea合约升级，向所有用户邮箱发送钓鱼邮件。许多用户错误地将其视为官方电子邮件并授权他们的钱包，从而导致他们的钱包被盗。据统计，这封邮件导致至少 3 个 BAYC、37 个 Azuki、25 个 NFT Worlds 和其他 NFT 被盗。按照底价计算，黑客的收入已经达到416万美元。

而就在今天，周杰伦手上的一张MAYC和两张Doodle一个接一个被盗； NFT 顶级项目 BAYC 和 Doodles 的 Discord 社区同时被黑，黑客造成的损失尚未确定。

如今买加密货币遇到诈骗项目，我们需要防范的黑客攻击不仅存在于技术层面，还存在于社会工程学层面。再加上很多 NFT 项目的价格不断上涨，一不小心就会损失巨大的资产。鉴于近期NFT领域骗局频发，Rhythm总结了几种常见的骗局。希望读者时刻保持警惕，不要上当受骗。

欺诈手段：

1、通过 Discord 私信链接到欺诈网站

Discord私信链接是黑客常用的，黑客经常通过Discord批量向不同社区的成员发送私信，或者冒充社区管理员给私信用户，以帮助解决问题，诈骗钱包私钥。或者发送虚假钓鱼网站告诉用户可以免费索取NFT等。一旦用户对黑客伪造的虚假网站进行授权，会给用户带来巨大损失。

2、黑客 Discord 服务器

Discord 服务器被黑是几乎每个流行的 NFT 项目都会经历的事情 黑客会攻击服务器管理员的账户，然后在服务器的各个渠道发布虚假公告，诱骗社区成员访问虚假网站黑客很久以前就建立了购买假 NFT。今天的黑客会通过发送欺诈网站等方式来欺骗服务器管理员的令牌，所以即使管理员开启了2FA双因素认证也无济于事。如果黑客建立的欺诈网站需要用户钱包的授权，会给用户带来更严重的财产损失。

3、发送虚假交易链接

这种类型的骗局在骗子与用户私下谈判的 NFT 交易中很常见。 Sudoswap 和 NFTtrader 等交易平台鼓励用户通过私下协商“交换”彼此的 NFT 或代币，而这些平台还为私下协商的交易提供安全保障，这对 NFT 市场来说是一件好事，但现在一些黑客已经开始通过虚假的 Sudoswap 和 NFTtrader 网站进行诈骗。

Sudoswap 和 NFTtrader 要求用户在协商完成后发起交易。此步骤将生成一个订单确认网站。双方确认后，交易将通过智能合约自动进行。骗子会先假装和你讨论要兑换哪些 NFT，然后先给你看一个真实的网站链接，然后提出修改交易。交易者放松警惕后，骗子会发送欺诈链接。用户点击确认交易后，钱包中对应的NFT会发送到骗子的钱包中。

4、欺诈助记词

作弊者会通过各种手段诱使用户将自己的私钥或助记词发送给自己，比如设置诈骗网站、冒充管理员前来帮助用户等，所有行为都是为了降低用户的警惕性并伺机盗取私钥和助记词。

5、创建虚假收藏并在项目的公共 Discord 频道上寻求交易

在许多受欢迎的项目开始销售之前，最容易发现假 NFT 集合。当 NFT 盲盒正式上线时，骗子会提前在 OpenSea 等 NFT 交易平台上传名称相近的 NFT 收藏买加密货币遇到诈骗项目，并通过提前发布的官方信息将这个收藏进行精美的“装点”。如果真正的 NFT 收藏不在线，用户将首先搜索名称最接近的收藏。为了让用户相信将会进行几笔交易，一些骗子会向当前挂单的假 NFT 发送报价。

为了节省平台和项目方的版税，社区成员会进行私下交易。除了上面提到的模仿 Sudoswap 和 NFTtrader 网站外，还有诈骗者在社区频道发送消息。链接到略低于底价的假 NFT 收藏品。当用户急于购买低于底价的 NFT 时，往往会因为忽略 NFT 的真实性而受到欺骗。

6、假电子邮件

大部分 NFT 平台都要求用户绑定邮箱，以便用户第一时间知道自己 NFT 的交易状态，因此邮箱也成为诈骗的集散地。诈骗者通常冒充OpenSea平台公众号，向用户发送钓鱼网站链接，要求修改合约地址或重新认证钱包。近日，OpenSea宣布合约升级后，黑客通过这种方式骗取了用户近400万美元的财产。截至本文撰写之日，OpenSea 团队仍在调查受感染用户。

反欺诈指南

1、网站筛选

无论黑客使用哪种花哨的包装，以及使您感到困惑的语言描述，当他最终窃取您的加密资产时，总是需要一种与您的钱包进行交互的方式。普通用户可能不具备识别合约风险的能力，但幸运的是，我们还处于一个以 web2.0 为主导的互联网世界。几乎所有的加密合约都需要一个 web2 前端网页来与用户交互。

因此，几乎绝大多数向用户（而不是项目方）盗窃加密资产的行为都发生在虚假网络钓鱼网站上。一旦您知道如何发现网络钓鱼网站，您就可以避免 99% 的加密盗窃。

对于伴随着智能手机长大的 Z 世代来说，他们生活在一个又一个应用创造的“生态”中，可能忽略了对网页这个旧东西的理解。在web2时代，DNS域名系统赋予了每个网站在全网唯一的身份。了解域名组成的基本规则就足以应对几乎所有的假冒钓鱼网站。

在传统的DNS域名中，域名层次分为三个层次。从第一个分隔符 (/) 开始从右到左读取，每个句点分隔一个级别。例如“.io”类似于“.com”、“.cn”等，称为顶级域名，该字段不能自定义。 “opensea”被称为二级域名，即域名的主体。该字段不能在同一个顶级域名（如.io）下重复。 “www”部分为三级域名，网站运营者可自行设置该字段。甚至运营商也可以在“www”前继续添加四级域名和五级域名。

域的层次顺序是违反直觉的：从右到左，层次逐渐减少。这种设计与大多数人的阅读习惯完全相反，也让攻击者占了上风。例如，虽然地址与opensea地址高度相似，但它的实际域名是“example.com”而不是“opensea.io”。

Web3 上是否会出现钓鱼攻击很难预测。但是在 Web2 的世界里，DNS 域名系统保证了域名（或 URL）的唯一性，如果域名是真实的，用户几乎不可能打开假网站。

2、不要泄露私钥或助记词

加密钱包不像 Web2 的邮箱账户，私钥和助记词无法修改或找回。一旦泄露，就意味着钱包将同时属于你和黑客。黑客可以随时转移您钱包中的所有资产。由于以太坊地址的匿名性，你无法查出黑客是谁，损失自然也就丢失了。无法恢复，钱包也无法使用。

3、及时取消钱包授权

如果你在诈骗网站上对钱包进行过授权，可以到以下三个地址查看钱包授权并及时取消：

节奏BlockBeats提醒，根据银保监会等五部门于2018年8月发布的《关于防范以“虚拟货币”和“区块链”名义非法集资的风险提示》，请广大市民理性看待区块链，不要盲目相信炒作承诺，树立正确的货币观念和投资观念，切实提高风险意识；发现违法犯罪线索可积极向有关部门举报。