Web3黑暗森林指南: 如何保護你的NFT資產

過去一段時間，針對NFT的盜竊事件層出不窮。方式多種多樣，虛假鏈接、空投欺詐NFT、侵入DISCORD發布虛假鑄造鏈接等，許多玩家不小心點擊之后，遭遇財產損失。面對頻繁出現的騙局，玩家該如何保護自己的財產安全？針對這個問題，LooksRare、NFT社區SCC以及知名安全團隊慢霧，于2022年5月12日晚上舉行推特space，來談談NFT玩家該如何保護自己的NFT資產。常見的NFT欺詐和盜竊方式都有哪些？

1.釣魚網站

最常見的是，黑客注冊一個和項目方域名很相似的假域名。如：https://opensea.io是真實地址，https://opens?a.io是釣魚地址。仔細看那個?并不是英文字母e，非常具有迷惑性，這種字母是Punycode的一種編碼方式。黑客往往會在一些社區平臺上去發布這些域名，可能還會伴隨著虛假消息誘導用戶訪問。在釣魚網站方面，LooksRare已經聯合第三方共處理了124個LooksRare的虛假網站和129個虛假社交賬戶。除此之外還有一些其他類型的釣魚攻擊場景：●攻擊者發布虛假項目并宣傳空投活動，在用戶使用metamask登錄虛假項目網站的時候，攻擊者構造了NFT交易簽名內容(用于OpenSea掛單撮合)誘騙用戶完成簽名才能登錄。用戶簽名之后黑客利用簽名的內容用低價將用戶的NFT買走。●攻擊者冒充用戶在discord發布釣魚圖片誘導用戶訪問釣魚網站。●攻擊者發布偽裝成正常軟件的木馬程序，讓用戶運行。2.攻擊項目方的社區平臺

Web3風險投資基金BFF獲得Octava數字資產投資:金色財經報道，專注于全球早期Web3創業公司的風險投資基金Blockchain Founders Fund（BFF）已經獲得了Octava數字資產的投資，Octava是新加坡家族辦公室的數字資產團隊，投資范圍包括從種子到公開交易的加密貨幣。

這筆資金將用于投資有前途的早期初創公司，這些初創公司正在 Web3 中構建基礎設施和應用程序。BFF 是許多非常成功的區塊鏈公司的早期投資者，包括Altered State Machine (ASM)、Splinterlands、Magna、Dogami和Krayon。?????[2022/10/9 12:50:41]

例如盜取項目方的社交平臺(Discord，instagram等)。Discord的釣魚手法：1）利用瀏覽器惡意書簽盜取DiscordToken；2）騙取項目方人員直接在網頁版Discord上輸入惡意代碼，從而盜取DiscordToken。攻擊者得到項目方的DiscordToken后，就能登錄項目方的Discord賬號，然后在項目方Discord服務器發布虛假信息，引導用戶在虛假網站上進行交互從而盜取用戶的NFT等加密貨幣資產。3.中間人攻擊

調查：52%的游戲玩家熟悉Web3 游戲術語:金色財經報道，Coda Labs的調查數據顯示，游戲玩家（他們將其定義為每月至少玩兩次視頻游戲的人）非常了解加密和游戲——其中89%了解比特幣，51%了解 NFT——但對資產類別有很大的負面情緒。只有 52% 的游戲玩家熟悉任何類型的 Web3 游戲術語，而只有 12% 的游戲玩家嘗試過玩加密游戲。調查還指出，在新興市場，人們對加密貨幣的看法普遍較高，與美國人、英國人或日本人相比，南非人和巴西人對該資產類別的印象要好得多。（coindesk）[2022/10/6 18:40:31]

中間人攻擊方向有很多種，比如DNS劫持和BGP攻擊等。域名劫持又稱DNS劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應，其效果就是對特定的網絡不能訪問或訪問的是假網址。BGP劫持是指攻擊者惡意重新路由互聯網流量的情況。攻擊者通過不實地宣布實際上沒有擁有、控制或路由到的IP地址組的所有權來實現此目的。BGP劫持就好比有人改變一段高速公路上的所有標志，將汽車重新引導到錯誤的出口。4.代碼供應鏈攻擊

Web3游戲平臺InGame Sports完成超100萬美元pre-seed輪融資:9月27日消息，Web3游戲平臺InGame Sports宣布完成超100萬美元pre-seed輪融資，Openner領投，Sports Rader和一些天使投資人參投。該公司將利用這筆資金推出基于Web3技術的基礎設施及附加組建，后續將區塊鏈技術整合到旗下足球手游中，同時拓展多個海外國家/地區市場。（innovation-village）[2022/9/27 22:32:31]

代碼供應鏈攻擊是一種針對軟件開發人員和供應商的攻擊方式。攻擊者將內置后門的代碼上傳到公共存儲庫，其他開發人員如果不注意對代碼進行安全審核，就可能將有害代碼應用到自己的開發環境，繼而在分發自己開發的軟件時，將惡意程序傳播給更多用戶。案例：npm投攻擊

美國、中國、印度成為Web3人才三大聚集地:9月4日消息，根據全球區塊鏈行業人才洞察報告，2022年全球Web3人才同比增長76%，美國、中國和印度是區塊鏈人才的三大聚集地；NASSCOM報告《Crypto Tech India》顯示，印度Web3行業在過去五年中增長了39%，雇傭了近5萬人。（financialexpress）[2022/9/4 13:08:09]

攻擊者發布惡意的npm包進行投，偽裝成官方的開發包，盜取助記詞和數字資產。慢霧安全團隊在05月03日發布安全提醒，攻擊者發布惡意的npm包：pensea-wallet-provider，os-wallet-provider。并在偽裝的NFT開源項目中偷偷引入這些惡意的包或欺騙開發人員使用惡意的npm包來盜取用戶的加密貨幣私鑰或助記詞。5.空投假的nft

BlueYard Capital第三支基金完成1.85億美元募資，將專注于投資Web3等領域:6月12日消息，風險投資公司 BlueYard Capital 宣布旗下第三支基金已完成 1.85 億美元募資 (約合 1.72 億歐元)。據該基金聯合創始人 Ciaran O'Leary 透露，這支基金將專注于在種子階段和早期階段投資四個前沿科技領域里的初創公司，分別是：Web3、可編程生物學、計算工程、數據知識技術。

據悉，BlueYard Capital 曾投資過多家加密和區塊鏈項目，包括加密會計平臺 Cryptio、基于 Polygon 的鏡像交易協議 Housecat、區塊鏈項目 Massa Labs 等。（independent）[2022/6/12 4:19:52]

給藍籌持倉用戶空投虛假NFT，這類型的nft完全沒有價值，當你點擊進去，也是給黑客機會。NFT玩家該如何保護自己的資產安全？

1.黑暗森林法則：一是零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。二是持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。具體的內容可以查看慢霧出品的《區塊鏈黑暗森林自救手冊》2.對于交互網站，需要交叉核實驗證真實性。對于NFT新項目、土狗項目，建議使用新錢包，不使用主資產錢包。3.重視授權，對于登錄網站需要做好驗證，對于授權盡可能了解內容。經常使用https://revoke.cash/網站上查看自己是否有可疑的授權歷史。4.警惕郵件。一定自己去平臺官方網站看，而不是通過郵件點過去。欺詐者可以偽造相似的網站、用戶名、頭像、email等。5.錢包被盜之后，無論是何種原因被盜，都建議更換新錢包。6.任何時候，都不將助記詞和私鑰交給別人。7.盡可能學習使用冷錢包。LooksRare作為NFT交易平臺采取了哪些安全措施？

LooksRare作為NFT交易平臺，在交易端上也采取系列措施，可以使得用戶能夠更安全地進行交易：1.明文授權LooksRare是第一家采取EIP-712簽名的交易平臺，EIP-712是在用戶簽名的時候，可以清楚的看到你簽名的內容，而不是一串64位復雜的亂碼。之前opensea的掛單簽名就是一串亂碼，用戶完全不知道自己簽名內容是什么，也因此讓很多黑客有機可趁。OpenSea在LooksrRare之后也使用了EIP-712簽名。2.提示是否查看NFT的完整信息NFT的形式有html和javascript這種動圖形式，用戶在LooksRare查看這些NFT的時候我們會多次詢問你是否查看這些NFT的完整內容，需要用戶多確認一次。我們希望優先考慮用戶安全和隱私。因為這類型的NFT中可能包含跟蹤像素和其他具有惡意行為的代碼。單擊該鏈接，惡意NFT會自動加載并獲取用戶的IP、設備信息等。雖然大多數的nft項目方并不會作惡，但不會排除小部分黑客會抓到這個漏洞。

3.提示取消掛單當用戶有正在掛單的NFT，但是后來NTF被轉走了，官網會有一個非常刺目的感嘆號來提醒用戶取消當前掛單，因為如果用戶忘記掛單之后NFT暴漲，NFT轉回來后這個掛單其實還會在的，LooksRare會在前端頁面隱藏掉你的掛單，給你時間來取消或者激活掛單。保證其他用戶在你重新激活或者取消掛單前無法在前端看到這個掛單。

4.未認證的NFT系列需二次確認LooksRare會根據交易量，持有用戶數量來判斷是否是真實的系列，未認證的系列也會有二次提醒用戶使用正確的合約地址再搜索一次。

Tags：NFTWEBWEB3SCOBAKC Vault (NFTX)Web3Goldfio幣web3ESCO

幣安幣