WEB:愚人节明星NFT被盗，这份防盗指南请收好_PEN

文章来源：律动研究院，NFTLabs原文标题：《请把这份NFT防盗指南转发给周杰伦》Crypto的世界如同黑暗森林，你的身边可能潜藏着无数危机。前几日，就有黑客趁着OpenSea合约升级之时，给所有用户的邮箱发送了一条钓鱼邮件，而不少用户错把其当作官方邮件而将自己的钱包授权，进而导致钱包被盗。据统计，这一条邮件至少导致3个BAYC、37个Azuki、25个NFTWorlds等NFT被盗，按照地板价计算，黑客收入便已高达416万美元。

而就在今天，周杰伦持有的1枚MAYC和两枚Doodles相继被盗；顶级NFT项目BAYC和Doodles的Discord社区同时被黑客入侵，目前黑客造成的损失尚未确定。

如今，我们需要防范的黑客攻击不仅仅存在于技术层面，还来自社会工程学，再加上众多NFT项目的价格水涨船高，稍不留神便会损失巨额资产。鉴于最近NFT领域频发，律动总结了几类常见的手段，希望广大读者时刻提高警惕，不要上当受。

加密交易平台Talos与比利时做市商Keyrock合作，提升加密货币市场流动性:3月21日消息，加密交易平台Talos表示，随着其向欧洲的扩张，它将通过与加密货币做市商Keyrock合作，为客户提供更深层次的流动性。

此前消息，Keyrock去年9月完成7200万美元B轮融资，投资者包括Ripple和SIX FinTech Ventures（瑞士交易所SIX Group的投资部门）；Talos去年5月完成1.05 亿美元B轮融资，投资者包括华尔街巨头花旗集团、富国银行 (WFC) 和纽约梅隆银行。（Coindesk）[2023/3/21 13:17:28]

手段：

1、通过Discord私信网站链接

Discord私信链接是是黑客常用的行手段，黑客往往会通过Discord不同的社区批量私信成员，或是冒充社区管理员以帮忙解决问题为由私信用户，取钱包私钥。或者发送虚假的钓鱼网站，告诉用户可以免费领取NFT等等。用户一旦授权给黑客仿造的虚假网站，那么将会给用户带来巨大的亏损。

九城旗下NFTSTAR将推出4款世界杯系列产品，包括链游和内马尔NFT等:9月13日消息，据官方消息，互联网企业第九城市（Nasdaq: NCTY）旗下NFTSTAR将于10月15日推出4款世界杯系列产品，包括国际足球巨星内马尔NFT、Web3体育社交平台PlayMaker、区块链足球游戏MetaGoal、以及足球竞猜游戏Wonder WIN。[2022/9/13 13:26:47]

2、攻击Discord服务器

Discord服务器被黑客攻击几乎是每一个火爆的NFT项目都会经历的事情，黑客会攻击服务器管理员的账号，之后在服务器的各个频道发布假公告，社区成员去黑客早就搭建好的假网站购买假的NFT。而如今的黑客会通过发送网站等方式取服务器管理员的token，这样即使管理员开启2FA双重认证也无济于事。而如果黑客搭建的网站会要求用户钱包的授权，则会给用户带来更加严重的财产损失。

投资巨头T. Rowe Price已任命Blue Macellari为其数字资产战略负责人:金色财经消息，投资巨头 T. Rowe Price 已任命 Blue Macellari 为其数字资产战略负责人。根据周三在 LinkedIn 上的一篇帖子，她将领导该公司加密战略的开发和实施。?T. Rowe Price 成立于 1937 年，是一家美国投资公司，管理着超过 1.3 万亿美元的资产。它提供一系列涵盖股票、固定收益和另类资产类别的投资产品。?

据LinkedIn 称，Macellari 从加密对冲基金Dunamis Trading加入 T. Rowe?，在那里她帮助推出了“市场中立”加密交易策略。她之前曾在 Elliott Investment Management、TD Securities 和 Lone Star Funds 等多家投资公司担任新兴市场策略师和专家。?

与其他一些投资公司相比，??T. Rowe 对加密货币更加谨慎。[2022/8/11 12:19:28]

3、发送假的交易链接

苏州虎丘发行官方数字藏品:金色财经报道，据苏州市园林和绿化管理局公众号“苏州园林官微”，苏州虎丘推出“苏州市虎丘山风景名胜区”系列数字藏品将于7月31日在阿里拍卖上线。[2022/7/31 2:49:07]

这类术常见于子与用户私下磋商的NFT交易过程。Sudoswap、NFTtrader等交易平台鼓励用户通过私下磋商的方式「交换」彼此的NFT或token，而这些平台也为私下磋商成的交易提供了安全保障，这对于NFT市场来说本是一件好事，但如今有黑客开始通过仿造的Sudoswap、NFTtrader网站进行。

Sudoswap、NFTtrader在磋商完成后需要用户发起一笔交易，这一步骤会生成一个订单确认网站，双方确认后交易会通过智能合约自动进行。子在一开始会假装与你商议交换哪些NFT，并先为你展示一个真的网站链接，随后提出对交易进行修改，在交易者放松警惕后，子会发送一个链接，用户点击确认交易后，钱包中对应的NFT便会被发送至子的钱包中。

Connext下周起对贡献者进行审查并发放积分:7月13日消息，Layer2互操作性协议Connext发推表示，贡献者计划将于7月15日结束，从下周开始社区管理员和跟踪运营商将开始审查贡献者为Connext生态系统带来的质量、影响和价值等贡献，参与者将根据他们的贡献获得相应的积分。在NEXT分配和Connext DAO形成后，DAO将投票决定将NEXT的这部分分配，在最终分配方案获得批准后，贡献参与者将获得与他们分数成比例的追溯分配份额。

昨日报道，Connext决定暂时推迟代币NEXT的发行计划，将优先考虑开发和社区工作。[2022/7/13 2:11:08]

4、取助记词

子会通过各种手段诱导用户将私钥或助记词发送给自己，比如搭建网站、假装自己是来帮助用户的管理员等，种种行为均是为了降低用户的警惕，伺机走私钥和助记词。

5、创建假的Collection，在项目的Discord公开频道寻求交易

虚假NFT合集是在很多热门项目发售前最容易遇到的。当NFT盲盒正式上线前，子会提前在OpenSea等NFT交易平台上传名称类似的NFT合集，并且提前通过官方释放出的信息精美的「装修」好这个合集。真正的NFT合集在没上线的情况下，用户优先会搜索到名字最为接近的合集。有些子为了让用户相信还会制造几笔交易，给当前挂单的假冒NFT发送Offer出价。

为了节省平台和项目方的版税抽成，社区成员之间会进行私下交易，除了上文所谈到的通过仿造Sudoswap、NFTtrader网站之外，也有子通过在社区频道发送略低于地板价的假NFT合集链接。用户往往会在急于抢购低于地板价NFT时忽略了NFT的真实性从而受。

6、假邮件

大部分的NFT平台都会要求用户绑定邮箱，以方便用户能够第一时间知道自己NFT的交易情况，因此邮箱也成为了泛滥的聚集地。子通常会伪装成OpenSea平台的官方账号，以合约地址需要修改或钱包需要重新验证等方式向用户发送钓鱼网站链接。近日OpenSea在公布合约升级之后，黑客便是以这种方式取用户财产近400万美元。截止撰稿日期，OpenSea团队仍然在排查受损用户。

防指南

1、网址甄别

无论黑客采用何种天花乱坠的包装，和如何令你意乱神迷的语言描述，在最终他盗走你的加密资产之时，始终需要一个和你的钱包发生交互的途径。普通用户或许不具备辨别合约风险的能力，但幸运的是，我们至今仍处在一个web2所主导的互联网世界。几乎所有的加密合约都需要借助一个web2的前端网页来和用户交互。

因此，几乎绝大多数面向用户的加密资产盗窃都是发生在仿冒的钓鱼网站之上。而一旦了解了如何鉴别钓鱼网站，将足以帮你避开99%的加密资产盗窃。

对于伴随着智能手机成长起来的Z世代来说，他们生活在一个又一个App营造的「生态」之中，对于Web网页这个陈旧的事物或许已经疏于了解了。在web2时代，DNS域名系统为每一个网站赋予了全网唯一的身份标识，了解域名构成的基本规则，将足以应对几乎全部的虚假钓鱼网站。

在传统的DNS域名中，域名层级分为三级。从第一个分隔符开始从右至左阅读，每个句号分隔开一个层级。以https://www.opensea.io/为例「。io」和「。com」、「。cn」等类似，被称为顶级域名，该字段不可自定义。「opensea」被称为二级域名，也即域名的主体，同一顶级域名下该字段不可重复。「www」部分则为三级域名，该字段网站运营者可自行设置。甚至运营者还可在「www」之前继续添加四级域名、五级域名。

域名的层级顺序是反直觉的：即从右至左层级逐渐降低。这一设计与大多数人的阅读习惯恰恰相反，也让攻击者有了可乘之机。举例来说，https://www.opensea.io.example.com该地址虽然和opensea地址高度相似，但其实际域名却为「example.com」而非「opensea.io」。

Web3是否还有钓鱼攻击我们尚且难以预测。但在Web2的世界里，DNS域名系统确保了域名的唯一性，在域名为真的情况下，用户几乎不可能打开虚假网站。

2、不要泄露私钥或助记词

Crypto钱包不像Web2的电子邮件等账户，私钥与助记词无法修改、找回，一旦泄露就意味着这个钱包将同时归属于你与黑客，你钱包内所有的资产都可以随时被黑客转移，而由于以太坊地址的匿名性，你也无法查明黑客到底是谁，损失自然也无法追回，这个钱包也不能再继续使用。

3、及时取消钱包授权

如果你已经在网站授权钱包，可以及时前往以下三个地址检查钱包授权情况并及时取消：

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/

https://debank.com/

标签：WEBWEB3PENOpenSeaWEBAI价格web3游戏龙之岛PENDopensea币单个价格

XLM热门资讯