ORD:警惕黑客 五大技巧助你安全鑄造NFT

注：原文來自bankless，作者是William M. Peaster。

黑客正在探索NFT Discord以尋找弱點，本周，我們看到了一個悲劇例子，當時CreatureToadz的Discord暫時遭到了攻擊。

在事件發生期間，黑客利用這個機會發布了一個虛假的“隱形drop”鏈接，這個鏈接似乎指向的是一個NFT 鑄造界面，然后受害者花費了ETH（他們以為自己在鑄造NFT），而實際上所有的錢都直接轉到了攻擊者的地址，而沒有鑄造出任何NFT。

安全提醒：警惕Filecoin RBF假充值攻擊:據慢霧區消息，Filecoin出現“雙花交易”，多家交易所關閉FIL充值通道。慢霧安全團隊對相關信息分析發現，這是一起Filecoin的RBF假充值攻擊事件而非”雙花攻擊“。攻擊者預先發送一筆低gas-feecap的交易，然后通過提高gas-premium和gas-feecap替換原交易（RBF交易），此時RBF交易優先被打包上鏈，舊交易被丟棄，但是由于FilecoinlotusRPC有一個特性，在查詢舊交易的執行狀態時（使用lotusstateexec-trace命令或者通過REST接口Filecoin.StateGetReceipt獲取）返回的是RBF交易的執行狀態，導致交易所對兩筆交易重復入賬。

慢霧安全團隊提醒交易所及相關錢包方，在充值入賬時，需要對比查詢返回結果中的cid與查詢的cid是否一致，并配合ChainGetParentMessages和ChainGetParentReceipts等接口進行查詢對比，避免重復入賬。與此前慢霧區發現的假充值攻擊不同的是，此次攻擊方法更加隱蔽，是由于Filecoin節點特性所引起，交易所及相關錢包方應再次檢查充值入賬程序，除了RBF外，還有常規的To、Value、轉賬類型Method，以及執行結果ExitCode等字段的校驗，必要時可請安全審計公司協助檢測。[2021/3/19 19:00:10]

幸運的是，CreatureToadz 團隊重新控制了 Discord，并將對受影響的參與者進行補償。然而，這起事件提醒了我們，作為NFT鑄幣者，我們必須要保持警惕，事實上，越來越多的黑客將我們當成了目標。

動態 | 慢霧： 警惕利用EOS及EOS上Token的提幣功能惡意挖礦:近期由于EIDOS空投導致EOS主網CPU資源十分緊張，有攻擊者開始利用交易所/DApp提幣功能惡意挖礦，請交易所/DApp在處理EOS及EOS上Token的提幣時，注意檢查用戶提幣地址是否是合約賬號，建議暫時先禁止提幣到合約賬號，避免被攻擊導致平臺提幣錢包的CPU資源被惡意消耗。同時，需要注意部分交易所的EOS充值錢包地址也是合約賬號，需要設置白名單避免影響正常用戶的提幣操作。[2019/11/6]

對于今天的帖子，我收集了一些安全鑄造 NFT 的技巧。總而言之，這些技巧可以幫助你避免或最大程度地減少NFT鑄造面臨的安全問題。

金色晨訊 | 河北省政府常務會議：把區塊鏈納入省數字經濟“十四五”發展規劃；證券時報頭版：時刻警惕假借區塊鏈名義的違法犯罪:1.北大經濟學博士劉昌用在接受采訪時表示，應加強區塊鏈相關的經濟與法律研究和知識的普及；

2.Circle向以太坊網絡新增發1500萬枚USDC；

3.河北省政府常務會議：把區塊鏈納入省數字經濟“十四五”發展規劃；

4.?證券時報頭版：時刻警惕假借區塊鏈名義的違法犯罪；

5.證券日報刊文“發展區塊鏈技術既要積極又要穩妥”。文章稱，區塊鏈技術并非完美無瑕。全社會應對區塊鏈技術秉持客觀理性的態度；

6.今日在BitMEX用戶數據泄露后，該交易所的推特帳戶遭到了黑客攻擊；

7.以太坊正通過簡單地將區塊大小從大約每10分鐘1MB增加到大約8MB部分解決分片的許多復雜性；

8.馬耳他金融服務管理局：21家加密交易所正尋求授權在過渡期滿后繼續在當地提供服務；

9.蕪湖市跨境金融區塊鏈服務平臺首單業務成功落地；

10.兩名美國國會議員昨日在比特幣白皮書11歲生日時鼓勵基于比特幣的創新；

11.央行：網傳央行數字貨幣工作組會晤相關公司區塊鏈板塊負責人屬造謠；

12.吳忌寒：“詹克團沉默內幕：或涉侵吞公司財產”為不實新聞；

13.朱幼平：數字貨幣和區塊鏈已經成為國際競爭的新賽道；

14.最高法：積極推進區塊鏈現代科技在司法領域深度應用；

15.桐成控股更名“火幣科技控股有限公司”已正式生效；

16.BitMEX：意識到電子郵件隱私問題影響了客戶，已經確定了根本原因。[2019/11/2]

首先聲明，我并不認為這是安全鑄造NFT的綜合“最佳實踐”，因為我可能錯過了一些想法。但至少，以下提示可以對你有所幫助。

動態 | 比利時FSMA表示持續收到加密貨幣相關投訴 提醒投資者保持警惕:Finance Magnates報道稱，比利時金融服務和市場管理局(FSMA)表示，繼續收到加密貨幣投資者的投訴。監管機構最近曝光了一家名為Abesix Belgiqu的比利時加密貨幣交易公司的活動未經授權。

文章發表后，De Tijd隨后發布了最新消息，稱這位70歲的商人已正式否認報道。此外，Wouters也沒有參與ABESIX的成立和發展。

據報道，Abesix正在交易六種主要的加密貨幣。除了交易加密貨幣外，該公司還將其產品推廣為在線財務規劃師。

監管機構說，為了在交易加密貨幣時獲得證券法提供的保護，投資者應使用在FSMA注冊的平臺或實體。[2019/10/6]

一般而言，實現 NFT 安全性的第一步是熟悉 NFT 用戶目前面臨的主要騙局，當前和未來的騙局可能會從這些類型的伎倆演變而來。

正如 MyCrypto 在其有用的《常見 NFT騙局》指南中所指出的那樣，攻擊媒介可以包括藝術家或品牌冒充、虛假店面等。

技巧一：使用專用的鑄造錢包

假設你會使用一個主要的錢包，你會在其中存放自己最好的加密藝術品，發布你的Mirror博客，并處理你大部分的DeFi 活動。

在某些情況下，不法分子可能會濫用或破壞用戶授予這些項目的權限以竊取資金。

“事實上，有些網站的創建意圖是在用戶授予其錢包訪問權限后竊取資金/NFT?，所以要小心你連接到的Dapp/網站......”

因此，將圍繞鑄造新收藏品的風險隔離到一個副錢包中，其中你只存放自己一小部分的加密資產，是提高NFT 安全性的一種簡單方法。

技巧二：定期清理你的代幣授權

說到權限授予，定期進行清理是一個好主意，同樣，用戶通常會向 NFT 項目授予支出批準，以便與它們進行交互。在最壞的情況下，這些支出批準是無限額度的，因此可能會被攻擊者利用。

好消息？現在你可以使用Etherscan的簡單Token Approvals Checker 工具來清理有風險的授權批準，此外還有其他類似的工具。

技巧三：注意“Sending ETH”

“如果你在網站上鑄造時看到此內容，請仔細檢查你的鏈接，仔細檢查你的URL，仔細檢查一切。

如果你嘗試mint一個新項目NFT，并且看到“Sending ETH”出現在你的MetaMask交互界面，請離開，這是一個騙局！

這就是本周早些時候 在CreatureToadz 項目身上發生的情況。一名黑客破壞了 Discord， 然后發布了一個虛假的機器人公告，并從受害者（認為自己鑄造了CreatureToadz的人）那里偷偷收集了ETH。

技巧四：尋找官方信息

不要相信 Discord 機器人的公告，要尋找來自項目負責人、管理員、版主等官方人員的通訊，并跨多個渠道（例如Discord、Twitter、社區討論等）證實鑄造公告和其他重要信息。如果某個隨機的人私信你并談論“即將到來的NFT發布”，請直接無視。

技巧五：鑄造后，請注意假貨

假設一個備受期待的 NFT 項目剛剛售罄，而你錯過了鑄造，如果你想收藏這個系列的NFT，你會趕到 OpenSea等二級市場上參與交易。

而詐騙者會利用上述動態，通過推出假冒的盜版NFT收藏來進行詐騙。

OpenSea 在快速清理這些列表方面做得很好，但在這些早期的機會窗口中，你必須要保持警惕。

我們是NFT 前沿的先驅，這里不乏刺激，但也有很多風險。遵循上述提示，并多次檢查 URL 和合約地址等內容，這將大大有助于確保你的NFT收藏流程保持安全。

Tags：NFT區塊鏈FILORDNFTBS價格vp幣區塊鏈價格op幣價格今日行情filord幣今日價格

狗狗幣價格