ENG:NFT防范指南：一文了解常見的NFT詐騙手法_SNFT幣

加密行業的黑暗森林危機四伏，NFT被盜事件和金額逐年增多，本文將梳理常見的騙局類型及防范技巧。

加密行業的黑暗森林危機四伏，暗藏著各式各樣的危機與陷阱，資產被盜的劇情經常上演，熱門賽道NFT和知名玩家們亦不能幸免。NFT項目Moonbirds創始人Kevin Rose在1月25日證實，其個人錢包遭到黑客攻擊，共丟失25枚Chromie Squiggles以及其它NFT。

隨著NFT被盜事件和金額增多，本文PANews將梳理常見的騙局類型及防范技巧。

NFT市場規模與日俱增的同時，“零元購”被盜事件愈發頻繁，且攻擊手法層出不窮。

1、虛假廣告窗口

近期，加密KOL NFT God發推稱，因黑客入侵其Twitter、Substack、Gmail、Discord和錢包，導致其損失全部加密資產和NFT，黑客還通過盜取的賬號發布詐騙鏈接。被黑原因為此前在新設備上把Ledger設置為熱錢包而不是冷錢包，助記詞在聯網電腦上的錢包導入使用后，然后在下載視頻流軟件OBS進行游戲直播后，點擊了谷歌上的贊助商鏈接下載了惡意軟件，使黑客可以訪問其資金。實際上，谷歌的廣告允許任何人繞過排名并在搜索結果排在第一位，而用戶點擊這類展示廣告的概率非常高，這也為詐騙提供了更多可能性。

彭博社：加密市場下跌傷害了GameStop和Coinbase NFT業務:金色財經報道，據彭博社披露，加密市場下跌已傷害GameStop和Coinbase旗下的NFT業務，GameStop和Coinbase的NFT交易量均大幅放緩，其中Coinbase的NFT業務影響較大。數據顯示，Coinbase NFT市場自四月份推出以來，交易額僅為4380 ETH，總價值不足800萬美元，迄今用戶數量只有1.6逾萬個且僅促成約5萬筆交易量。不過，專業性較高的NFT市場表現較為平穩，同期OpenSea交易額超過90億美元，新增用戶量接近150萬。[2022/12/29 22:13:07]

2、虛假空投誘騙

“高價”收購被空投NFT是種新型詐騙手段，受害者在收到一些不知名的NFT空投后，會被詐騙者開出高價進行收購。如果投資者選擇交易該NFT，會在因一些特殊原因導致交易報錯提示時進入虛假的釣魚詐騙網站進行授權，最終導致自己資產被盜。

Pudgy Penguins宣布為NFT持有者空投靈魂綁定代幣truePengu:7月23日消息，NFT項目Pudgy Penguins（胖企鵝）宣布將在該項目誕生1周年之際，為其NFT持有者空投靈魂綁定Token truePengu。據悉，truePengu是ERC1155 Token，不可交易，NFT持有者根據其持有的NFT被分類為不同的類別，并收到各自的truePengu。

據官方消息，快照時持有同一ID的Pudgy Penguin、Lil Pudgy以及Pudgy Rod NFT的用戶將被空投Ice truePengu靈魂綁定Token。快照時持有Pudgy Penguin和Lil Pudgy的用戶將被空投Iridescent truePengu。快照時持有Pudgy Penguin的用戶將被空投Gold truePengu。以上指標不可疊加，每位用戶僅可按照最高規格獲得一枚靈魂綁定Token(該快照于2022年7月22日美國東部標準時間0點拍攝。)[2022/7/23 2:32:37]

3、偽造NFT

6月Solana鏈上NFT銷售量近170萬筆，創2021年8月以來最高記錄:金色財經報道，據cryptoslam數據顯示，在剛剛過去的6月中，Solana鏈上NFT銷售額僅為1.03億美元，創過去11個月以來的最低紀錄。自2021年8月以來，Solana鏈上NFT銷售額最高記錄發生在今年一月，當時交易額為299,419,009.15美元。不過，6月Solana鏈上NFT銷售量卻達到1,697,912筆，創下自2021年8月以來的最高紀錄，此外5月Solana鏈上NFT銷售額為1,227,362筆，創過去11個月以來第二高交易量記錄。[2022/7/2 1:45:51]

今年3月，日本東京的Whitestone發布一起NFT相關詐欺公告，表示有非官方人士假借白石畫廊之名義，販售知名藝術家草間彌生之NFT。其實，市面上有不少詐騙者通過剽竊藝術家作品并在NFT市場上架假版本，使得不少人購買了無任何價值假NFT。不僅如此，還有些騙局會在NFT交易平臺上傳名稱相似的假冒項目，甚至還會創建幾筆交易來迷惑用戶，對于一些習慣使用搜索功能的用戶而言非常容易中招。

NFT市場銷售額在上周市場大跌后開始改善:9月20日消息，NFT的銷售額在9月10日從8月中旬的歷史高點暴跌了86%。該報告指出，銷量最大的NFT市場Opensea的7天銷售額下滑了52.47%。從9月10日到13日，各種NFT市場和流行系列的銷售都出現了大幅放緩。然而，一周后，NFT的銷售在一定程度上反彈，流行的市場和收藏品正在升溫。dappradar.com的統計數據表明，Opensea在交易額為6.2935億美元，每周交易量增加了0.94%，Opensea 交易者的數量增加了9.02%。Opensea與Ethereum和Polygon網絡兼容。按9月19日每周交易量計算的第二大 NFT項目是Axie Infinity，其7天銷售額為1.1061億美元。（Bitcoin News）[2021/9/20 23:37:39]

4、虛假電子郵件

福布斯首個NFT以33.33萬美元售出:金色財經報道，大型商業雜志《福布斯》（Forbes）已以333,333的高價將其NFT賣給了一位叫“mondoir”的競標者。該雜志的首個NFT標題為“虛擬空間的商人”，作者是Gemini創始人Cameron和Tyler Winklevoss。 限時24小時競標在NFT市場Nifty Gateway上進行，于美國東部時間下午1:30結束。[2021/4/9 20:00:24]

今年2月，OpenSea官方進行智能合約升級，用戶需將他們在以太坊上的NFT列表遷移至新的智能合約中。黑客趁機偽裝成官方給用戶發了一封升級提醒郵件，不少防范意識不強的用戶對釣魚鏈接進行了錢包授權后導致NFT資產被盜，包括Bored Ape Yacht Club、Cool Cats、Doodles和Azuki等。

由于不少NFT項目要求用戶進行郵箱綁定來第一時間獲取消息，這也使得很多攻擊者冒充官方并以合約地址修改、錢包重新驗證等由向用戶發送釣魚鏈接，因此郵箱也成為了詐騙的重災區。

5、官方被黑或被偽裝

或因員工被釣魚攻擊、下載惡意軟件、未設置雙重認證等多方面原因，NFT項目的官方賬號也常常被黑。2022年4月，Bored Ape Yacht Club官方Instagram帳戶遭到黑客攻擊，黑客利用該Instagram賬戶分享了一個仿冒無聊猿游艇俱樂部網站的欺詐鏈接，其中包含讓用戶將他們的MetaMask連接至詐騙錢包以參與虛假空投，隨后黑客竊取了價值超過280萬美元的NFT。同年6月，Yuga Labs的Discord服務器被黑，攻擊者利用該賬戶在官方BAYC及元宇宙項目中發布釣魚鏈接后獲利。

當然，還有些詐騙者通過偽造NFT項目的官方賬戶并取得用戶信任后，會發送釣魚網站讓他們簽名，即不花費任何資金就可購買賬戶內的NFT，而大部分用戶是無法辨別由一串數字和字母組合的簽名內容中的問題。此外，私信鏈接是是常用的行騙方式，他們往往會通過Telegram、Discord等平臺中的各類社區批量私信成員，甚至冒充管理員來騙取用戶的錢包私鑰。

6、生成相同尾號地址

通常而言，大部分用戶只會通過檢查合約地址前后位數來判斷地址是否正確，這也給了攻擊者機會。他們會利用用戶復制歷史交易記錄中過往地址的習慣，偽造一份前后相同位數的合約并不斷空投小額數量的Token，若用戶不仔細檢查完整地址則很容易被盜取資產。另外，除了相同尾數騙局，零轉賬的鏈上地址投攻擊也需警惕，不少用戶會將該地址當作可信的交互地址。

鏈上操作是不可逆的。被盜取資產后，大部分人其實很難再找回，特別是沒有任何技術技能的普通用戶。那么，該如何避免自己資產被詐騙？

1、保護好私鑰或助記詞：與電子郵件、社交平臺等Web2賬戶泄露可更改密碼不同，私鑰與助記詞作為錢包的“鑰匙”無法修改與找回，一旦泄露資產就會被洗劫一空。攻擊者會通過NFT空投/抽獎、Free Mint等FOMO情緒誘導用戶發送自己的私鑰或助記詞，甚至還會偽裝成官方管理員、搭建假域名網站等種方式來降低用戶的警惕性。

2、收藏常用網站并甄別官方社交賬號：雖然釣魚網站是最容易被識別的，但NFT資產被盜的主要原因之一。實際上，這類網站無論被包裝的多精美（可檢查域名、網址拼寫等），最終目的是與錢包交互，用戶應該保持謹慎態度，收藏經常使用的官方網站，從官網進入社交賬號（可通過粉絲數、賬戶活動、評論參與度等方面進行判斷），及別輕易點開私信或郵件分享的鏈接將很大程度上避開資產被盜的可能性。另外，雖然大部分用戶不具備辨別合約風險的能力，但通過安裝反網絡釣魚插件，也將有效協助識別部分釣魚網站。

3、資產隔離并定期檢查：使用多個錢包參與NFT交易和鑄造等行為，且儲存資產和應用交互的錢包需做好隔離，特別是存有大額資金的錢包應避免任何交互。此外，用戶還需定期檢查錢包是否存在與異常合約交互并及時取消授權。

4、多方信息交叉認證：在參與和鑄造NFT前盡職調查非常重要，用戶可通過檢查社交賬戶是否驗證、多個渠道交叉檢查項目信息等方式來評估。

5、仔細核對地址：對于任何轉賬行為，用戶需檢查完整的合約地址，也可使用錢包的地址簿轉賬功能通過直接選擇地址轉賬。另外，對于一些參與項目的合約地址，用戶可從官方渠道獲取地址，避免被中間攻擊者修改。

當然，隨著技術的不斷進步，資產盜取手法也在與時俱進，因此一旦自己的資產被盜，用戶需第一時間隔離自己的資產并更改社交賬號密碼等個人信息，同時還需告知其他被詐騙賬戶的相關信息。若是病性攻擊，還需將電腦等設備進行斷網。此外，用戶還可以尋求專業的安全公司進行資金追查，以最大程度彌補資金損失。

Nancy

個人專欄

閱讀更多

金色財經

金色早8點

Odaily星球日報

Arcane Labs

澎湃新聞

深潮TechFlow

歐科云鏈

鏈得得

MarsBit

BTCStudy

Tags：NFTPENPENGENGSNFT幣APENFTSpacePenguinEngine

火幣APP下載