Web3黑暗森林指南: 如何保護你的NFT資產

過去一段時間，針對NFT的盜竊事件層出不窮。方式多種多樣，虛假鏈接、空投欺詐NFT、侵入DISCORD發布虛假鑄造鏈接等，許多玩家不小心點擊之后，遭遇財產損失。面對頻繁出現的騙局，玩家該如何保護自己的財產安全？針對這個問題，LooksRare、NFT社區SCC以及知名安全團隊慢霧，于2022年5月12日晚上舉行推特space，來談談NFT玩家該如何保護自己的NFT資產。常見的NFT欺詐和盜竊方式都有哪些？

1.釣魚網站

最常見的是，黑客注冊一個和項目方域名很相似的假域名。如：https://opensea.io是真實地址，https://opens?a.io是釣魚地址。仔細看那個?并不是英文字母e，非常具有迷惑性，這種字母是Punycode的一種編碼方式。黑客往往會在一些社區平臺上去發布這些域名，可能還會伴隨著虛假消息誘導用戶訪問。在釣魚網站方面，LooksRare已經聯合第三方共處理了124個LooksRare的虛假網站和129個虛假社交賬戶。除此之外還有一些其他類型的釣魚攻擊場景：●攻擊者發布虛假項目并宣傳空投活動，在用戶使用metamask登錄虛假項目網站的時候，攻擊者構造了NFT交易簽名內容(用于OpenSea掛單撮合)誘騙用戶完成簽名才能登錄。用戶簽名之后黑客利用簽名的內容用低價將用戶的NFT買走。●攻擊者冒充用戶在discord發布釣魚圖片誘導用戶訪問釣魚網站。●攻擊者發布偽裝成正常軟件的木馬程序，讓用戶運行。2.攻擊項目方的社區平臺

英國新成立技術部將推進元宇宙和Web3戰略:金色財經報道，一位未獲授權公開發言的知情人士表示，英國新成立的科學、創新和技術部將推進該國的元宇宙和Web3戰略。該國2023年春季預算于3月發布，稱政府希望引領網絡技術的未來，有時被稱為Web3或元宇宙。2月成立的新技術部門將領導這項工作。

消息人士稱，該部門的工作不會專注于區塊鏈和虛擬現實等特定技術，而是著眼于與Metaverse元宇宙和Web3等概念相關的潛在經濟增長機會、投資和商業模式，以及對監管的影響。目前尚不清楚將有多少資金用于技術部門及其元宇宙工作。[2023/4/14 14:04:46]

例如盜取項目方的社交平臺(Discord，instagram等)。Discord的釣魚手法：1）利用瀏覽器惡意書簽盜取DiscordToken；2）騙取項目方人員直接在網頁版Discord上輸入惡意代碼，從而盜取DiscordToken。攻擊者得到項目方的DiscordToken后，就能登錄項目方的Discord賬號，然后在項目方Discord服務器發布虛假信息，引導用戶在虛假網站上進行交互從而盜取用戶的NFT等加密貨幣資產。3.中間人攻擊

Web3虛擬禮物平臺Gifto完成250萬美元融資:1月24日消息，Web3虛擬禮物平臺Gifto完成250萬美元融資，本輪融資由Poolz Ventures投資。

Gifto是由Binance Launchpad支持的項目，旨在建立將例如電子賀卡、PFP、生成藝術或紅包形式的NFT等作為禮物贈送給親友的協議。[2023/1/24 11:28:48]

中間人攻擊方向有很多種，比如DNS劫持和BGP攻擊等。域名劫持又稱DNS劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應，其效果就是對特定的網絡不能訪問或訪問的是假網址。BGP劫持是指攻擊者惡意重新路由互聯網流量的情況。攻擊者通過不實地宣布實際上沒有擁有、控制或路由到的IP地址組的所有權來實現此目的。BGP劫持就好比有人改變一段高速公路上的所有標志，將汽車重新引導到錯誤的出口。4.代碼供應鏈攻擊

Snoop Dogg兒子創立Web3基金WTTB，擬募資5000萬美元:9月24日消息，Snoop Dogg兒子Cordell Broadus宣布與新加坡投資機構Golden Equator Group達成合作，雙方已成立一支全新Web3基金Welcome To The Block（WTTB）。

該基金將募資4000-5000萬美元，并計劃在2022年底推出，專注于投資CeFi、DeFi和Web3基礎設施領域里一些有潛力的早期初創團隊，其投資方式主要有三類：傳統VC式股權投資、收購項目上市前Token、以及收購已上市的高流動性Token。（EINPresswire）[2022/9/24 7:18:40]

代碼供應鏈攻擊是一種針對軟件開發人員和供應商的攻擊方式。攻擊者將內置后門的代碼上傳到公共存儲庫，其他開發人員如果不注意對代碼進行安全審核，就可能將有害代碼應用到自己的開發環境，繼而在分發自己開發的軟件時，將惡意程序傳播給更多用戶。案例：npm投攻擊

歐易OKX校招負責人：Web3給企業和人才提供了雙向機遇和挑戰:8月6日，歐易OKX聯合發起的《考進Web3》系列測評舉行了首場考前分享，歐易校招負責人Kenny出席并發言。在發言中Kenny著重強調Web3的出現給企業和人才提供了雙向的機遇和挑戰。

Kenny表示，目前Web3行業和區塊鏈技術發展還屬于比較早期，從業人才需要對行業有強烈的好奇心和熱情；根據歐易對人才的需求，合格人才需要同時兼具敏捷性，自驅性，堅韌性，創新力。

在發言中，Kenny特別強調歐易聯合領域Linkedin出版的《2022 全球區塊鏈領域人才報告-Web3 方向》，該報告報告全文近2萬字，耗時近3個月，數據樣本覆蓋180個國家，囊括了全球區塊鏈行業概覽，人才現狀以及人才發展趨勢與建議三大板塊。[2022/8/9 12:13:11]

攻擊者發布惡意的npm包進行投，偽裝成官方的開發包，盜取助記詞和數字資產。慢霧安全團隊在05月03日發布安全提醒，攻擊者發布惡意的npm包：pensea-wallet-provider，os-wallet-provider。并在偽裝的NFT開源項目中偷偷引入這些惡意的包或欺騙開發人員使用惡意的npm包來盜取用戶的加密貨幣私鑰或助記詞。5.空投假的nft

加密貨幣高管推出 Web3 投資公司 Tangent:金色財經報道，Jason Choi 和 Daryl Wang 是亞洲兩家主要投資公司的兩位前加密高管，他們正在推出自己的基金來支持 Web3 項目。

這家名為 Tangent 的新公司每個季度都將“時間和資金投入到少數幾家 Web3 公司作為天使投資人”。據彭博社報道，該公司不會接受外部資金或收取管理費。該公司每季度將與 2 到 5 個早期加密項目合作，“使用未公開的小型專有資本池”。

Choi 之前是 Spartan Capital 的普通合伙人，Wang 之前是新加坡 DeFiance Capital 的負責人。（the block）[2022/7/6 1:53:15]

給藍籌持倉用戶空投虛假NFT，這類型的nft完全沒有價值，當你點擊進去，也是給黑客機會。NFT玩家該如何保護自己的資產安全？

1.黑暗森林法則：一是零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。二是持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。具體的內容可以查看慢霧出品的《區塊鏈黑暗森林自救手冊》2.對于交互網站，需要交叉核實驗證真實性。對于NFT新項目、土狗項目，建議使用新錢包，不使用主資產錢包。3.重視授權，對于登錄網站需要做好驗證，對于授權盡可能了解內容。經常使用https://revoke.cash/網站上查看自己是否有可疑的授權歷史。4.警惕郵件。一定自己去平臺官方網站看，而不是通過郵件點過去。欺詐者可以偽造相似的網站、用戶名、頭像、email等。5.錢包被盜之后，無論是何種原因被盜，都建議更換新錢包。6.任何時候，都不將助記詞和私鑰交給別人。7.盡可能學習使用冷錢包。LooksRare作為NFT交易平臺采取了哪些安全措施？

LooksRare作為NFT交易平臺，在交易端上也采取系列措施，可以使得用戶能夠更安全地進行交易：1.明文授權LooksRare是第一家采取EIP-712簽名的交易平臺，EIP-712是在用戶簽名的時候，可以清楚的看到你簽名的內容，而不是一串64位復雜的亂碼。之前opensea的掛單簽名就是一串亂碼，用戶完全不知道自己簽名內容是什么，也因此讓很多黑客有機可趁。OpenSea在LooksrRare之后也使用了EIP-712簽名。2.提示是否查看NFT的完整信息NFT的形式有html和javascript這種動圖形式，用戶在LooksRare查看這些NFT的時候我們會多次詢問你是否查看這些NFT的完整內容，需要用戶多確認一次。我們希望優先考慮用戶安全和隱私。因為這類型的NFT中可能包含跟蹤像素和其他具有惡意行為的代碼。單擊該鏈接，惡意NFT會自動加載并獲取用戶的IP、設備信息等。雖然大多數的nft項目方并不會作惡，但不會排除小部分黑客會抓到這個漏洞。

3.提示取消掛單當用戶有正在掛單的NFT，但是后來NTF被轉走了，官網會有一個非常刺目的感嘆號來提醒用戶取消當前掛單，因為如果用戶忘記掛單之后NFT暴漲，NFT轉回來后這個掛單其實還會在的，LooksRare會在前端頁面隱藏掉你的掛單，給你時間來取消或者激活掛單。保證其他用戶在你重新激活或者取消掛單前無法在前端看到這個掛單。

4.未認證的NFT系列需二次確認LooksRare會根據交易量，持有用戶數量來判斷是否是真實的系列，未認證的系列也會有二次提醒用戶使用正確的合約地址再搜索一次。

Tags：NFTWEB3WEBORDHurricane NFTMETAWEB3PA幣web3.0幣種Concordium

FIL幣