黑客正在探索NFTDiscord以尋找弱點,本周,我們看到了一個悲劇例子,當時CreatureToadz的Discord暫時遭到了攻擊。
在事件發生期間,黑客利用這個機會發布了一個虛假的“隱形drop”鏈接,這個鏈接似乎指向的是一個NFT鑄造界面,然后受害者花費了ETH,而實際上所有的錢都直接轉到了攻擊者的地址,而沒有鑄造出任何NFT。
“這很傷人,discord被破壞了大約45分鐘,我們剛剛重新控制了它,任何從這個騙子那里購買NFT的人都會得到補償。現在是凌晨2點,他們在我們睡著時發起了攻擊。作為一個社區,我們會變得更強大。”
央視新聞:警惕虛擬幣投資騙局 莫盲目跟風投機:今日17:20左右,央視CCTV-13頻道在“新聞直播間”中報道了有關虛擬貨幣詐騙的內容,節目時長達12分鐘。
報道中以TRTC為例,介紹了一種比較典型的詐騙形式,即在Uniswap平臺任意發布一種虛擬貨幣后,通過改代碼限制只能買不能賣,最后通過清空流動性跑路的行為。TRTC案例共騙取了59個ETH,價值約10萬美元。另外,報道還提到了非法合約交易的行為。
注:任何人都可以在去中心化交易平臺Uniswap發布任何名稱代幣,平臺不會做任何審核,參與其中務必注意風險。[2021/6/2 23:05:13]
幸運的是,CreatureToadz團隊重新控制了Discord,并將對受影響的參與者進行補償。然而,這起事件提醒了我們,作為NFT鑄幣者,我們必須要保持警惕,事實上,越來越多的黑客將我們當成了目標。
安全提醒:警惕Filecoin假充值攻擊:近日,慢霧安全團隊捕獲了一起針對交易所的 FIL 假充值攻擊事件,經分析發現,由于 Filecoin 鏈上的交易具有多種交易狀態和類型,交易所在處理用戶充值時如果沒有校驗全部相關字段則可能導致假充值攻擊成功,造成資金損失。
慢霧安全團隊提醒交易所及相關錢包方,Filecoin是一個新型的區塊鏈項目,具有較多新特性,需要做好風控管理。在處理Filecoin充值時,除了校驗To、Value等常規字段外,還需要校驗轉賬類型Method==0,以及執行結果ExitCode==0等,并等待足夠的確認數。[2020/10/26]
對于今天的帖子,我收集了一些安全鑄造NFT的技巧。總而言之,這些技巧可以幫助你避免或最大程度地減少NFT鑄造面臨的安全問題。
動態 | 交易所警惕 ERC20 Token 假充值漏洞:據慢霧區塊鏈威脅情報系統(BTI)捕獲,近期以太坊鏈上發現大量利用 ERC20 Token 假充值漏洞攻擊數字貨幣交易所及錢包的行為,其中包含幾個知名 ERC20 Token,慢霧安全團隊提醒廣大交易所及錢包注意自查平臺內上線的 ERC20 幣種是否存在假充值漏洞。漏洞原理及修復方案可查看慢霧安全團隊 2018 年 7 月披露的漏洞分析文章。[2019/8/20]
首先聲明,我并不認為這是安全鑄造NFT的綜合“最佳實踐”,因為我可能錯過了一些想法。但至少,以下提示可以對你有所幫助。
了解常見的NFT騙局
“知彼知己,百戰不殆。”——《孫子兵法》
動態 | 慢霧預警:警惕新型“交易排擠攻擊”:根據慢霧威脅情報分析系統分析,今日凌晨,EOS.WIN 遭遇黑客攻擊。EOS.WIN 的攻擊者 loveforlover 采用的是新型攻擊手法,為“交易排擠攻擊”,這種攻擊手法與之前攻擊 bocai.game 的攻擊手法為同一種攻擊手法。攻擊者首先是使用 loveforlover 發起正常的轉賬交易,然后使用另一個合約帳號檢測中獎行為。如果不中獎,則發起大量的 defer 交易,將項目方的開獎交易“擠”到下一個區塊中,此次攻擊源于項目方的隨機數算法使用了時間種子,使攻擊者提升了中獎幾率,導致攻擊成功。截止發文前,EOS.WIN 項目方仍未進行合約升級。慢霧安全團隊在此建議所有的項目方和開發者不要在隨機數算法內加入時間種子,防止被惡意攻擊。[2019/1/11]
一般而言,實現NFT安全性的第一步是熟悉NFT用戶目前面臨的主要騙局,當前和未來的騙局可能會從這些類型的伎倆演變而來。
正如MyCrypto在其有用的《常見NFT騙局》指南中所指出的那樣,攻擊媒介可以包括藝術家或品牌冒充、虛假店面等。
技巧一:使用專用的鑄造錢包
假設你會使用一個主要的錢包,你會在其中存放自己最好的加密藝術品,發布你的Mirror博客,并處理你大部分的DeFi活動。
在某些情況下,不法分子可能會濫用或破壞用戶授予這些項目的權限以竊取資金。
“事實上,有些網站的創建意圖是在用戶授予其錢包訪問權限后竊取資金/NFT?,所以要小心你連接到的Dapp/網站......”
因此,將圍繞鑄造新收藏品的風險隔離到一個副錢包中,其中你只存放自己一小部分的加密資產,是提高NFT安全性的一種簡單方法。
技巧二:定期清理你的代幣授權
說到權限授予,定期進行清理是一個好主意,同樣,用戶通常會向NFT項目授予支出批準,以便與它們進行交互。在最壞的情況下,這些支出批準是無限額度的,因此可能會被攻擊者利用。
好消息?現在你可以使用Etherscan的簡單TokenApprovalsChecker工具來清理有風險的授權批準,此外還有其他類似的工具。
技巧三:注意“SendingETH”
如果你在網站上鑄造時看到此內容,請仔細檢查你的鏈接,仔細檢查你的URL,仔細檢查一切。因為這可能就是一坨?,你被騙了。
如果你嘗試mint一個新項目NFT,并且看到“SendingETH”出現在你的MetaMask交互界面,請離開,這是一個騙局!
這就是本周早些時候在CreatureToadz項目身上發生的情況。一名黑客破壞了Discord,然后發布了一個虛假的機器人公告,并從受害者那里偷偷收集了ETH。
技巧四:尋找官方信息
不要相信Discord機器人的公告,要尋找來自項目負責人、管理員、版主等官方人員的通訊,并跨多個渠道證實鑄造公告和其他重要信息。如果某個隨機的人私信你并談論“即將到來的NFT發布”,請直接無視。
技巧五:鑄造后,請注意假貨
假設一個備受期待的NFT項目剛剛售罄,而你錯過了鑄造,如果你想收藏這個系列的NFT,你會趕到OpenSea等二級市場上參與交易。
而詐騙者會利用上述動態,通過推出假冒的盜版NFT收藏來進行詐騙。
OpenSea在快速清理這些列表方面做得很好,但在這些早期的機會窗口中,你必須要保持警惕。
結論?
我們是NFT前沿的先驅,這里不乏刺激,但也有很多風險。遵循上述提示,并多次檢查URL和合約地址等內容,這將大大有助于確保你的NFT收藏流程保持安全。
注:原文來自bankless,作者是WilliamM.Peaster。
由COMP流動性挖礦于2020年夏季觸發的Defi牛市已將許多Defi協議變成了快速增長的收入“怪物”。你會認為這讓他們處于舒適的財務狀況,下面對DAO國庫的粗淺觀察似乎證實了這一點.
1900/1/1 0:00:00「互聯網檔案館」是一個非盈利性的、提供互聯網資料檔案閱覽服務的數字圖書館,是布魯斯特·卡利于1996年創辦的.
1900/1/1 0:00:00上周這一時間,全球最大的金融科技活動Money20/20正如火如荼地進行。DeFi和加密貨幣在該展會重返拉斯維加斯時大放光彩,與上屆2019年金融科技愛好者在金沙會議中心的大廳里散步時形成鮮明對.
1900/1/1 0:00:00Synthetix?創始人KainWarwick談DeFi的下一步走向,他認為以太坊和DeFi即將迎來更為壯麗的未來.
1900/1/1 0:00:00全球互聯網巨頭Facebook宣布改名為Meta以及進軍元宇宙計劃的熱度持續升溫,A股“元宇宙”板塊連續兩個交易日走強,相關概念股紛紛飄紅.
1900/1/1 0:00:00金色財經報道,上海市人民政府辦公廳印發《上海市全面推進城市數字化轉型“十四五”規劃》,《規劃》指出依托隱私計算、區塊鏈等技術構建可信數據開發利用環境,面向數字城市不同場景的應用功能開發.
1900/1/1 0:00:00