By:山
“我不需要知道Jerry是誰,在網絡上做生意,你相信的就是網絡上的小面板,剝掉面板,你就知道這玩意實際上有多脆弱,而事實上在那網站后面操作的真人,他們才是你需要信任的人。“
——《別相信任何人:虛擬貨幣懸案》
NFT?背景
2008年11月1日,中本聰提出比特幣的概念,2009年1月3日,比特幣正式誕生,而后隨著全球數字經濟加速發展,加密資產等概念爆熱,2012年第一個類似NFT的通證ColoredCoin誕生。彩色幣由小面額的比特幣組成,最小單位為一聰。隨著技術的持續發展,時間一轉來到2021年,NFT迎來了爆發性增長,逐步成為市場最熱的投資風向標之一。
藝術家Beeple的NFT作品《Everydays:TheFirst5000Days》在佳士得官網上以69,346,250美元成交,虛擬游戲平臺Sandbox上的一塊虛擬土地以430萬美元售出……隨著水漲船高,層出不窮的高價項目持續刺激著人們的神經。然后在高價光環之下,NFT也漸漸進入了犯罪分子的視野,從此開啟了針對NFT的瘋狂釣魚、盜竊等行動。
NFT?現狀
引言這段話出自Netflix的自制紀錄片《別相信任何人:虛擬貨幣懸案》,故事講述加拿大最大加密貨幣交易所QuadrigaCX首席執行官格里·科滕離奇死亡后,他將2.5億美元客戶資金密碼也帶進了墳墓。大量驚恐的投資者拒絕接受官方的說法,他們認為格里的“死亡”具有“金蟬脫殼”的所有特征:他還活著,已經帶著投資者的錢跑路了!
其實QuadrigaCX的故事只是Web3世界的冰山一角,而我們今天要聊的NFT世界里,被盜幾乎每天都在上演,列舉幾個知名案例:
2021年2月21日,OpenSea用戶遭到personal_sign類型網絡釣魚攻擊,有32位用戶簽署了來自攻擊者的惡意交易,導致用戶部分NFT被盜,包括BAYC、Azuki等近百個NFT,按當時價格計算,黑客獲利420萬美元;
2022年4月29日,周杰倫持有價值320萬元的無聊猿?NFT?被盜;
2022年5月25日,推特用戶@0xLosingMoney稱監測到ID為@Dvincent_的用戶通過發布釣魚網站p2peersio盜走了29枚Moonbirds系列NFT,價值超70萬美元;
2022年6月28日,Web3項目Metabergs創作者Nickydooodles.eth發推稱,黑客使用釣魚手段攻擊了他的錢包,損失了17枚ETH和全部NFT藏品,包括GoblintownNFT、DoodlesNFT、SandboxLand等;
黃立成累積84枚Azuki成為該NFT第二大持有者:金色財經報道,據Lookonchain監測,過去24小時內,黃立成地址machibigbrother.eth累積了84枚Azuki,成為Azuki第二大持有者。他花費646枚ETH買入108枚Azuki,買入均價為5.98枚ETH;以133.5枚ETH價格賣出24枚Azuki,平均售價為5.56枚ETH。[2023/7/3 22:14:54]
2022年11月1日,KUMALEON項目的Discord遭黑客入侵,攻擊者通過發布釣魚鏈接的方式實施攻擊,導致社區用戶大約111枚NFT被盜,包括BAYC#5313、ENS、ALIENFRENS和ArtBlocks等;
2021年12月31日,推特用戶Kramer在推特稱其點擊了一個看起來像真的NFTDApp鏈接,結果這是一次網絡釣魚攻擊,他的16個NFT被盜,包括8個BoredApes、7個MutantApes和1個Clonex,價值190萬美元;
2023年1月15日,知名博主@NFT_GOD因點擊谷歌上的釣魚廣告鏈接,導致所有賬戶、加密貨幣以及NFT被盜;
2023年1月26日,NFT知名項目Moonbirds創始人KevinRose的錢包被盜,丟失約40枚NFT,損失超過200萬美元;
2023年1月28日,NFT知名項目Azuki官方Twitter賬號被黑,導致其粉絲連接到釣魚鏈接,超122枚NFT被盜,損失超過78萬美元;
2023年2月8日,一名受害者因一個存在已久的NFT釣魚騙局,連接到釣魚地址,損失超過1,200,000美元的USDC;
……
鑒于NFT被盜的頻發和影響嚴重性,慢霧科技針對NFT釣魚團伙發布兩次針對性追蹤分析:
2022年12月24日,慢霧科技首次全球披露《朝鮮APT大規模NFT釣魚分析》,APT團伙針對加密生態的NFT用戶進行大規模釣魚活動,相關地址已被MistTrack標記為高風險釣魚地址,交易數也非常多,APT團伙共收到1055個NFT,售出后獲利近300枚ETH。?
2023年2月10日,慢霧科技再次發布《數千萬美金大盜團伙MonkeyDrainer的神秘面紗》,據MistTrack相關數據統計,MonkeyDrainer團伙通過釣魚的方式共計獲利約1297.2萬美元,其中釣魚NFT數量7,059個,獲利4,695.91ETH,約合761萬美元,占所獲資金比例58.66%;ERC20Token獲利約536.2萬美元,占所獲資金比例41.34%,其中主要獲利ERC20Token類型為USDC,USDT,LINK,ENS,stETH。
Yuga Labs旗下NFT項目Meebits推出新的激活網站,并為持有者提供免費打印服務:11月4日消息,Yuga Labs旗下NFT項目Meebits推出新的激活網站,并為持有者提供免費打印服務。Meebits被設計成3D角色,MB1為故事的第一章,將有九個版本,新激活網站將成為每一次新體驗、激活或機會的啟動板。
MB1第一站是MB1.1,用戶可打印Meebit獨家實體版。每個實體印刷品都附有一份真品證書。從今天起,用戶有兩周時間訂購免費印刷品(只需支付運費)。[2022/11/4 12:17:27]
除此之外,據慢霧區塊鏈被黑事件檔案庫和Elliptic的數據統計,截止2023年1月,NFT被盜的知名安全事件有幾百起,攻擊者偷走了價值近2億美元的NFT。
據SlowMist數據顯示,2022年NFT盜竊案主要集中在Ethererum鏈,發生在社交媒體平臺上,通過虛假域名、項目方相似域名、惡意木馬、Discord入侵發布虛假鏈接釣魚等手法進行攻擊,詐騙者平均每次盜竊10萬美元。似乎不論牛市還是熊市,只有黑客在“0元購”賺的盆滿缽滿。
那么問題來了:不管是普通用戶還是項目方創始人都屢遭釣魚攻擊,面對如此惡劣的NFT釣魚、欺詐環境,NFT用戶是不是就毫無辦法?用戶就是待宰的羔羊嗎?
No!現在我們安全防御一直推行人防+技防的手段,即人員安全意識防御+技術手段防御。人員安全意識防御即個人安全意識,建議加密貨幣從業者可以學習下區塊鏈黑暗森林自救手冊:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/
鑒于人是個復雜的高等動物,所以人員安全意識防御我們今天不展開講,大家區塊鏈黑暗森林自救手冊好好讀一下。
而技術防御手段又是什么?簡單講就是通過軟硬件、瀏覽器插件等安全方式來保證資產等安全,而在NFT用戶群體,瀏覽器交互是90%的NFT用戶最常用的操作方式,也是最容易出現問題的環境,現在市場上已經有多款防釣魚瀏覽器插件,下面我們來盤點與對比下,希望能給NFT用戶一些安全指引。
安全插件對比
免責提示:以下對比的幾款瀏覽器安全插件僅從基本信息層、NFT實時釣魚檢測層、基本操作層進行對比,慢霧僅作為中立第三方,不承擔任何義務和法律責任。
育碧高管回應新NFT平臺引起的反響:游戲玩家可能還沒有完全理解NFT的好處:1月29日消息,育碧戰略創新實驗室副總裁Nicolas Pouard在接受Finder采訪時,對育碧在推出NFT平臺Quartz和Digits后收到的負面玩家反饋發表了看法。Pouard表示,游戲玩家可能還沒有完全理解NFT的好處。Quartz和Digits對玩家來說是一個“個人選擇的問題”,他們“在任何時候”都不會被迫使用它們。(Cointelegraph )[2022/1/29 9:21:08]
下面我們來從幾個角度評比下幾款我們熟悉的防釣魚瀏覽器插件,看看他們各自都有哪些特點:
1、是否開源、安裝次數、支持鏈、主要功能描述:
2、NFT釣魚網站、實時黑名單真實測試:
我們找最常見的朝鮮APTNFT釣魚特征和MonkeyDrainerNFT釣魚特征,進行實時特征掃描,找到團伙最新的釣魚網站,發現時差3小時左右,來看下各個防釣魚插件的反饋情況:
最新惡意NFT釣魚站點:https://blur.do
下面為測試內容:
1-PeckShieldAlert
結果:無任何提示,仍正常打開釣魚網站。
2-PocketUniverse
結果:無任何提示,仍正常打開釣魚網站。
3-Revoke.cash
結果:無任何提示,仍正常打開釣魚網站。
4-Fire
Taiko NFT宣布將在幣安NFT市場上發布貓NFT:12月27日消息,創意機構Taiko NFT宣布將于UTC時間2022年1月7日在幣安NFT市場上發布NFC-NEKO。該系列將以塑造互聯網和流行文化中家喻戶曉的貓科動物名字為特色,包括Grumpy Cat、Smudge Lord、Coffee、Coby the Cat、 Izzy and Zo?等。
據悉,每個NFC-NEKO均由Maxime Girault設計,Maxime Girault是一位常駐巴黎和紐約的數字藝術家,擅長以可愛動物為特色的插圖。NFC-NEKO的名字從maneki-neko 中汲取靈感,maneki-neko是日本的“招財貓”人物,意在為主人帶來好運,與Girault在他的作品中采用的風格相結合。Taiko總共將發布 27200 個NFT,每個售價28美元。按稀有度劃分為普通、稀有、超級稀有、Super Super Rare。(newsbtc)[2021/12/27 8:07:51]
結果:無任何提示,仍正常打開釣魚網站。
5-ScamSniffer
結果:提醒釣魚網站并阻止訪問釣魚網站。
6-WalletGuard
結果:無任何提示,仍正常打開釣魚網站。
7-?MetaDock
結果:無任何提示,仍正常打開釣魚網站。
8-Metashield
結果:無任何提示,仍正常打開釣魚網站。
9-Stelo
數據:NFT交易活動在2021年第二季度翻倍:與第一季度相比,2021年第二季度的NFT銷售數量和獨立錢包的日均銷量增加了一倍多。與第一季度相比,銷售數量激增了111.46%,而獨立錢包的日均銷量增長了151.86%。(dappradar)[2021/7/3 0:24:11]
結果:無任何提示,仍正常打開釣魚網站。
為了測試NFT站點釣魚的實時性、真實性,9個安裝的插件展示如下:
以上是以3小時時差級別的真實NFT釣魚網站結果。?
3、基本操作層測試內容
1?-?PeckShieldAlert
安裝后是讓用戶自己輸入一個TokenContract來檢測,這種方式不符合目前NFT用戶急于第一時間知道站點是否是釣魚網站的需求。它更像一個在線惡意合約掃描器插件。
personal_sign測試:無提示。
2-PocketUniverse
安裝后可以知道邏輯用戶觸發交易時開始檢測,所以在第一步用戶打開NFT釣魚網站時,是不能第一時間提醒用戶的。我們來看下第二步:
personal_sign測試:提醒用戶已經根據鏈上地址識別出風險地址,讓用戶不要簽名,還是不錯的,符合安全插件預期。
3-Revoke.cash
第一步沒有標示出NFT釣魚網站,在第二步用戶連接釣魚網站后,根據鏈上地址識別出風險地址,提醒用戶不要簽名。符合安全插件預期。
personal_sign測試:
4-Fire
第一步沒有標示出NFT釣魚網站,在第二步用戶連接釣魚網站后,根據鏈上地址沒有識別出風險地址,也沒有提示簽名風險。但是Fire可以把簽名預執行內容可讀性顯示出來,這點比較不錯。
personal_sign測試:無提示。
5-ScamSniffer
安裝后用戶訪問NFT釣魚網站時,直接提示風險并阻斷了訪問釣魚網站。符合安全插件預期。
personal_sign測試:無提示。
6-WalletGuard
安裝后是在用戶觸發交易時開始檢測,所以在第一步用戶打開NFT釣魚網站時,不能第一時間提醒用戶,我們來看下第二步:
personal_sign測試:提醒用戶現在已經標記到這個釣魚網站,提醒有風險,不要簽名,還是不錯的。符合安全插件預期。
7-MetaDock
安裝后用戶連接釣魚網站,釣魚網站騙取用戶簽名時,插件依舊沒什么提示,無任何風險提示。更像是需要用戶主動去提交掃描的方式,不符合安全插件預期。可能MetaDock不是一個防釣魚插件?有興趣的小伙伴可以找項目方確認下。
personal_sign測試:無提示。
8-Metashield
安裝后與“MetaDock”、“PeckShieldAlert”類似,用戶連接釣魚網站,釣魚網站騙取用戶簽名時,插件依舊沒什么提示,無任何風險提示。需要用戶主動去提交掃描的方式,不符合安全插件預期。
personal_sign測試:無任何提示。
9-Stelo
安裝后用戶連接釣魚網站,釣魚網站騙取用戶簽名時,插件依舊沒什么提示,無任何風險提示。
personal_sign測試:惡意信息提示為低風險。不符合安全插件預期。
至此,對比結束。
最終對比結果
下圖為最終對比結果:
在對比后,我們發現在第一步的識別上多數安全插件都做得不夠好,只有ScamSniffer識別到了這個3小時時差的最新NFT釣魚網站,在第二步開始eth_sign、personal_sign簽名等危險操作時,PocketUniverse、Revoke.cash、WalletGuard?均做出了安全風險識別等提醒。
但這只是目前的基礎對比項,未來可能會進一步細化。
測試的安全插件名稱及版本號如下圖:
在此感謝吳說區塊鏈的拋磚引玉;感謝以上優秀的插件項目方,雖然產品定位、對比結果各不相同,不少仍有改進的空間,但是他們的努力讓區塊鏈安全更進一步!
除此之外,推薦一個使用組合:
1、Rabbywallet+ScamSniffer
2、Rabbywallet+PocketUniverse
3、MetaMask+PocketUniverse
4、MetaMask+Revoke.cash
寫在最后
縱觀區塊鏈行業的釣魚攻擊,對個人用戶來說,風險主要在“域名、簽名”兩個核心點,其中90%的NFT釣魚都跟虛假域名有關。對用戶來說,在進行鏈上操作前,提前了解目標地址的風險情況是十分必要的,如果用戶在打開一個釣魚頁面時,相關的瀏覽器安全插件或錢包就能直接提示風險,這樣就可以把風險阻斷在第一步,直接阻斷了用戶后面的風險。就像Web2世界中360時代,直接解決了當時小白用戶被病攻擊的困擾,但它也并非解決了所有木馬病問題,因為病的查殺和病的免殺永遠存在時間差,如何做到時間差更小、樣本數更快、識別更精準就決定了殺軟件的厲害程度。
同樣,在區塊鏈、NFT行業,如何能第一步識別、提醒到釣魚站點的實時情況,在用戶端快速反饋、識別出釣魚網站,就決定了一款防釣魚安全插件的能力;而如果相關產品因為時間差的問題沒有在第一步識別到這些釣魚域名,用戶丟幣的風險就大大增加;那么接下來到第二步,用戶交互時授權鏈接、簽名步驟,如果瀏覽器安全插件或錢包有騙簽識別,能夠識別、友好的展示出用戶要簽名的詳細信息,如授權什么幣種、授權多少、授權給誰等人類可讀數據,比如RabbyWallet,在一定程度上也可以提示風險,一定程度上可以避免陷入資金損失的境地。
對錢包項目方來說,首先是需要進行全面的安全審計,重點提升用戶交互安全部分,加強所見即所簽機制,減少用戶被釣魚風險,如:
釣魚網站提醒:通過生態或者社區的力量匯聚各類釣魚網站,并在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。
簽名的識別和提醒:識別并提醒eth_sign、personal_sign、signTypedData這類簽名的請求,并重點提醒eth_sign盲簽的風險。
所見即所簽:錢包中可以對合約調用進行詳盡解析機制,避免Approve釣魚,讓用戶知道DApp交易構造時的詳細內容。
預執行機制:通過交易預執行機制可以幫助用戶了解到交易廣播執行后的效果,有助于用戶對交易執行進行預判。
尾號相同的詐騙提醒:在展示地址的時候醒目的提醒用戶檢查完整的目標地址,避免尾號相同的詐騙問題。設置白名單地址機制,用戶可以將常用的地址加入到白名單中,避免類似尾號相同的攻擊。
AML合規提醒:在轉賬的時候通過AML機制提醒用戶轉賬的目標地址是否會觸發AML的規則。
Tags:NFTSIGNIGNSIGCNFT幣sign幣行情Hypersign Identity TokenSignatureChain
原文:《Radiant:全鏈貨幣市場》 作者:藍狐筆記 Radiant于2022年7月份推出,是Arbitrum上的原生借貸市場項目。 跟Aave有什么不同 從貨幣市場角度,它們類似.
1900/1/1 0:00:00金色財經報道,OpenWeb信息分發協議RSS3進入下一階段Stage3,推出首個面向OpenWeb的搜索引擎hoot.it.
1900/1/1 0:00:002021年,NFT元年 2021年,無疑是NFT的“元年”。這一年推特創始人的首條推特被拍出250萬美元,加密藝術家Beeple的數字作品“First5000Days”在佳士得以6900萬美元價.
1900/1/1 0:00:00來源:Shutterstock 文:Decrypt 編譯:章魚哥 從“悄悄裁員”到“狂野生長”,Web3打工人正在經歷重大轉變。加密和科技勞動力市場現在處于一個奇怪的境地,但各自有所不同.
1900/1/1 0:00:00原文作者:ThorHartvigsen 原文編譯:白澤研究院 誰秘密地持有你感興趣的協議的大部分代幣?他們以什么價格投資/買入?DeFi研究員ThorHartvigsen根據自創的數據庫.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:509.38億美元 DeFi總市值及前十代幣數據來源:coingecko2、過去24小時去中心化交易所的交易量44.
1900/1/1 0:00:00