SIGN:NFT 防钓鱼指北：如何选择一款防钓鱼插件_SON

By:山

“我不需要知道Jerry是谁，在网络上做生意，你相信的就是网络上的小面板，剥掉面板，你就知道这玩意实际上有多脆弱，而事实上在那网站后面操作的真人，他们才是你需要信任的人。“

——《别相信任何人：虚拟货币悬案》

NFT?背景

2008年11月1日，中本聪提出比特币的概念，2009年1月3日，比特币正式诞生，而后随着全球数字经济加速发展，加密资产等概念爆热，2012年第一个类似NFT的通证ColoredCoin诞生。彩色币由小面额的比特币组成，最小单位为一聪。随着技术的持续发展，时间一转来到2021年，NFT迎来了爆发性增长，逐步成为市场最热的投资风向标之一。

艺术家Beeple的NFT作品《Everydays:TheFirst5000Days》在佳士得官网上以69,346,250美元成交，虚拟游戏平台Sandbox上的一块虚拟土地以430万美元售出……随着水涨船高，层出不穷的高价项目持续刺激着人们的神经。然后在高价光环之下，NFT也渐渐进入了犯罪分子的视野，从此开启了针对NFT的疯狂钓鱼、盗窃等行动。

NFT?现状

引言这段话出自Netflix的自制纪录片《别相信任何人：虚拟货币悬案》，故事讲述加拿大最大加密货币交易所QuadrigaCX首席执行官格里·科滕离奇死亡后，他将2.5亿美元客户资金密码也带进了坟墓。大量惊恐的投资者拒绝接受官方的说法，他们认为格里的“死亡”具有“金蝉脱壳”的所有特征：他还活着，已经带着投资者的钱跑路了！

其实QuadrigaCX的故事只是Web3世界的冰山一角，而我们今天要聊的NFT世界里，被盗几乎每天都在上演，列举几个知名案例：

2021年2月21日，OpenSea用户遭到personal_sign类型网络钓鱼攻击，有32位用户签署了来自攻击者的恶意交易，导致用户部分NFT被盗，包括BAYC、Azuki等近百个NFT，按当时价格计算，黑客获利420万美元；

2022年4月29日，周杰伦持有价值320万元的无聊猿?NFT?被盗；

2022年5月25日，推特用户@0xLosingMoney称监测到ID为@Dvincent_的用户通过发布钓鱼网站p2peersio盗走了29枚Moonbirds系列NFT，价值超70万美元；

2022年6月28日，Web3项目Metabergs创作者Nickydooodles.eth发推称，黑客使用钓鱼手段攻击了他的钱包，损失了17枚ETH和全部NFT藏品，包括GoblintownNFT、DoodlesNFT、SandboxLand等；

报告：优质的NFT具有很强的社区共识和团队背景和鲜明的艺术风格:金色财经报道，ParaSpace和BitKeep最近发布的一份报告表示，NFT 是一个新市场，缺乏历史数据和公认的估值分析方法，导致定价困难。即使在同一 NFT 系列中，基于主观观点对稀有性的不同看法也导致了巨大的价格差异。优质的NFT往往具有很强的社区共识和团队背景和鲜明的艺术风格。但普通用户参与蓝筹或热门NFT的门槛越来越高。现在已经出现了一些解决方案，比如NFT碎片化， NFT 质押，以及 NFT 流动性平台。[2023/6/6 21:18:01]

2022年11月1日，KUMALEON项目的Discord遭黑客入侵，攻击者通过发布钓鱼链接的方式实施攻击，导致社区用户大约111枚NFT被盗，包括BAYC#5313、ENS、ALIENFRENS和ArtBlocks等；

2021年12月31日，推特用户Kramer在推特称其点击了一个看起来像真的NFTDApp链接，结果这是一次网络钓鱼攻击，他的16个NFT被盗，包括8个BoredApes、7个MutantApes和1个Clonex，价值190万美元；

2023年1月15日，知名博主@NFT_GOD因点击谷歌上的钓鱼广告链接，导致所有账户、加密货币以及NFT被盗；

2023年1月26日，NFT知名项目Moonbirds创始人KevinRose的钱包被盗，丢失约40枚NFT，损失超过200万美元；

2023年1月28日，NFT知名项目Azuki官方Twitter账号被黑，导致其粉丝连接到钓鱼链接，超122枚NFT被盗，损失超过78万美元；

2023年2月8日，一名受害者因一个存在已久的NFT钓鱼局，连接到钓鱼地址，损失超过1,200,000美元的USDC；

……

鉴于NFT被盗的频发和影响严重性，慢雾科技针对NFT钓鱼团伙发布两次针对性追踪分析：

2022年12月24日，慢雾科技首次全球披露《朝鲜APT大规模NFT钓鱼分析》，APT团伙针对加密生态的NFT用户进行大规模钓鱼活动，相关地址已被MistTrack标记为高风险钓鱼地址，交易数也非常多，APT团伙共收到1055个NFT，售出后获利近300枚ETH。?

2023年2月10日，慢雾科技再次发布《数千万美金大盗团伙MonkeyDrainer的神秘面纱》，据MistTrack相关数据统计，MonkeyDrainer团伙通过钓鱼的方式共计获利约1297.2万美元，其中钓鱼NFT数量7,059个，获利4,695.91ETH，约合761万美元，占所获资金比例58.66%；ERC20Token获利约536.2万美元，占所获资金比例41.34%，其中主要获利ERC20Token类型为USDC,USDT,LINK,ENS,stETH。

调查：消费者对NFT投资的评价下降:金色财经报道，Variety杂志7月份的一项调查发现，消费者对NFT的评价有所下降，尤其是在那些尚未购买的人中。大多数非所有者认为NFT是一项糟糕的投资，只有15%的人认为他们是一项好的投资。然而，对于那些拥有NFT的人来说，他们对NFT的看法截然不同。三分之二的人认为这是一项很好的投资，只有5%的人认为这是一项糟糕的投资。但鉴于目前只有13%的受访者拥有NFT，非所有者的观点可能会对市场的未来产生更重大的影响。（ledgerinsights）[2022/8/5 12:05:07]

除此之外，据慢雾区块链被黑事件档案库和Elliptic的数据统计，截止2023年1月，NFT被盗的知名安全事件有几百起，攻击者偷走了价值近2亿美元的NFT。

据SlowMist数据显示，2022年NFT盗窃案主要集中在Ethererum链，发生在社交媒体平台上，通过虚假域名、项目方相似域名、恶意木马、Discord入侵发布虚假链接钓鱼等手法进行攻击，者平均每次盗窃10万美元。似乎不论牛市还是熊市，只有黑客在“0元购”赚的盆满钵满。

那么问题来了：不管是普通用户还是项目方创始人都屡遭钓鱼攻击，面对如此恶劣的NFT钓鱼、欺诈环境，NFT用户是不是就毫无办法？用户就是待宰的羔羊吗？

No！现在我们安全防御一直推行人防+技防的手段，即人员安全意识防御+技术手段防御。人员安全意识防御即个人安全意识，建议加密货币从业者可以学习下区块链黑暗森林自救手册：

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/

鉴于人是个复杂的高等动物，所以人员安全意识防御我们今天不展开讲，大家区块链黑暗森林自救手册好好读一下。

而技术防御手段又是什么？简单讲就是通过软硬件、浏览器插件等安全方式来保证资产等安全，而在NFT用户群体，浏览器交互是90%的NFT用户最常用的操作方式，也是最容易出现问题的环境，现在市场上已经有多款防钓鱼浏览器插件，下面我们来盘点与对比下，希望能给NFT用户一些安全指引。

安全插件对比

免责提示：以下对比的几款浏览器安全插件仅从基本信息层、NFT实时钓鱼检测层、基本操作层进行对比，慢雾仅作为中立第三方，不承担任何义务和法律责任。

说唱歌手Snoop Dogg宣布计划开设一家无聊的猿NFT主题餐厅:金色财经报道，美国著名说唱歌手Snoop Dogg宣布计划开设一家无聊的猿NFT主题餐厅。金色财经此前报道，说唱歌手Snoop Dogg将在Sandbox Metaverse中重建他的豪宅。[2022/6/5 4:03:22]

下面我们来从几个角度评比下几款我们熟悉的防钓鱼浏览器插件，看看他们各自都有哪些特点：

1、是否开源、安装次数、支持链、主要功能描述：

2、NFT钓鱼网站、实时黑名单真实测试：

我们找最常见的朝鲜APTNFT钓鱼特征和MonkeyDrainerNFT钓鱼特征，进行实时特征扫描，找到团伙最新的钓鱼网站，发现时差3小时左右，来看下各个防钓鱼插件的反馈情况：

最新恶意NFT钓鱼站点：https://blur.do

下面为测试内容：

1-PeckShieldAlert

结果：无任何提示，仍正常打开钓鱼网站。

2-PocketUniverse

结果：无任何提示，仍正常打开钓鱼网站。

3-Revoke.cash

结果：无任何提示，仍正常打开钓鱼网站。

4-Fire

结果：无任何提示，仍正常打开钓鱼网站。

5-ScamSniffer

中原传媒：NFT为数字艺术藏品提供以区块链技术为底层的技术协议标准:1月18日，中原传媒（000719.SZ）在投资者互动平台表示，NFT作为非同质化代币，具有不可拆分替代、非标准化等特质，为数字艺术藏品提供以区块链技术为底层的技术协议标准。它与传统艺术品金融、娱乐传媒、数字文博等领域逐渐融合，形成多样的数字资产和虚拟生态，与传统艺术品收藏相比具有价格公开透明、可追踪认证等优势。特别是对于数字版权管理运营具有无可替代的优势，公司会加深对相关技术的了解，深化在版权、数字版权领域的应用。（每日经济新闻）[2022/1/18 8:56:04]

结果：提醒钓鱼网站并阻止访问钓鱼网站。

6-WalletGuard

结果：无任何提示，仍正常打开钓鱼网站。

7-?MetaDock

结果：无任何提示，仍正常打开钓鱼网站。

8-Metashield

结果：无任何提示，仍正常打开钓鱼网站。

9-Stelo

结果：无任何提示，仍正常打开钓鱼网站。

为了测试NFT站点钓鱼的实时性、真实性，9个安装的插件展示如下：

以上是以3小时时差级别的真实NFT钓鱼网站结果。?

3、基本操作层测试内容

1?-?PeckShieldAlert

安装后是让用户自己输入一个TokenContract来检测，这种方式不符合目前NFT用户急于第一时间知道站点是否是钓鱼网站的需求。它更像一个在线恶意合约扫描器插件。

日本加密货币商业协会发布NFT准则:日本加密货币商业协会（JCBA）本周发布了NFT的相关准则。该准则称NFT的法律性质是由其内容来决定的，准则还发布了相关流程图用于判断NFT是证券还是加密资产。JCBA计划在将来进一步更新准则。（CoinTelegraph）[2021/4/29 21:10:14]

personal_sign测试：无提示。

2-PocketUniverse

安装后可以知道逻辑用户触发交易时开始检测，所以在第一步用户打开NFT钓鱼网站时，是不能第一时间提醒用户的。我们来看下第二步：

personal_sign测试：提醒用户已经根据链上地址识别出风险地址，让用户不要签名，还是不错的，符合安全插件预期。

3-Revoke.cash

第一步没有标示出NFT钓鱼网站，在第二步用户连接钓鱼网站后，根据链上地址识别出风险地址，提醒用户不要签名。符合安全插件预期。

personal_sign测试：

4-Fire

第一步没有标示出NFT钓鱼网站，在第二步用户连接钓鱼网站后，根据链上地址没有识别出风险地址，也没有提示签名风险。但是Fire可以把签名预执行内容可读性显示出来，这点比较不错。

personal_sign测试：无提示。

5-ScamSniffer

安装后用户访问NFT钓鱼网站时，直接提示风险并阻断了访问钓鱼网站。符合安全插件预期。

personal_sign测试：无提示。

6-WalletGuard

安装后是在用户触发交易时开始检测，所以在第一步用户打开NFT钓鱼网站时，不能第一时间提醒用户，我们来看下第二步：

personal_sign测试：提醒用户现在已经标记到这个钓鱼网站，提醒有风险，不要签名，还是不错的。符合安全插件预期。

7-MetaDock

安装后用户连接钓鱼网站，钓鱼网站取用户签名时，插件依旧没什么提示，无任何风险提示。更像是需要用户主动去提交扫描的方式，不符合安全插件预期。可能MetaDock不是一个防钓鱼插件？有兴趣的小伙伴可以找项目方确认下。

personal_sign测试：无提示。

8-Metashield

安装后与“MetaDock”、“PeckShieldAlert”类似，用户连接钓鱼网站，钓鱼网站取用户签名时，插件依旧没什么提示，无任何风险提示。需要用户主动去提交扫描的方式，不符合安全插件预期。

personal_sign测试：无任何提示。

9-Stelo

安装后用户连接钓鱼网站，钓鱼网站取用户签名时，插件依旧没什么提示，无任何风险提示。

personal_sign测试：恶意信息提示为低风险。不符合安全插件预期。

至此，对比结束。

最终对比结果

下图为最终对比结果：

在对比后，我们发现在第一步的识别上多数安全插件都做得不够好，只有ScamSniffer识别到了这个3小时时差的最新NFT钓鱼网站，在第二步开始eth_sign、personal_sign签名等危险操作时，PocketUniverse、Revoke.cash、WalletGuard?均做出了安全风险识别等提醒。

但这只是目前的基础对比项，未来可能会进一步细化。

测试的安全插件名称及版本号如下图：

在此感谢吴说区块链的抛砖引玉；感谢以上优秀的插件项目方，虽然产品定位、对比结果各不相同，不少仍有改进的空间，但是他们的努力让区块链安全更进一步！

除此之外，推荐一个使用组合：

1、Rabbywallet+ScamSniffer

2、Rabbywallet+PocketUniverse

3、MetaMask+PocketUniverse

4、MetaMask+Revoke.cash

写在最后

纵观区块链行业的钓鱼攻击，对个人用户来说，风险主要在“域名、签名”两个核心点，其中90%的NFT钓鱼都跟虚假域名有关。对用户来说，在进行链上操作前，提前了解目标地址的风险情况是十分必要的，如果用户在打开一个钓鱼页面时，相关的浏览器安全插件或钱包就能直接提示风险，这样就可以把风险阻断在第一步，直接阻断了用户后面的风险。就像Web2世界中360时代，直接解决了当时小白用户被病攻击的困扰，但它也并非解决了所有木马病问题，因为病的查杀和病的免杀永远存在时间差，如何做到时间差更小、样本数更快、识别更精准就决定了杀软件的厉害程度。

同样，在区块链、NFT行业，如何能第一步识别、提醒到钓鱼站点的实时情况，在用户端快速反馈、识别出钓鱼网站，就决定了一款防钓鱼安全插件的能力；而如果相关产品因为时间差的问题没有在第一步识别到这些钓鱼域名，用户丢币的风险就大大增加；那么接下来到第二步，用户交互时授权链接、签名步骤，如果浏览器安全插件或钱包有签识别，能够识别、友好的展示出用户要签名的详细信息，如授权什么币种、授权多少、授权给谁等人类可读数据，比如RabbyWallet，在一定程度上也可以提示风险，一定程度上可以避免陷入资金损失的境地。

对钱包项目方来说，首先是需要进行全面的安全审计，重点提升用户交互安全部分，加强所见即所签机制，减少用户被钓鱼风险，如：

钓鱼网站提醒：通过生态或者社区的力量汇聚各类钓鱼网站，并在用户与这些钓鱼网站交互的时候对风险进行醒目地提醒和告警。

签名的识别和提醒：识别并提醒eth_sign、personal_sign、signTypedData这类签名的请求，并重点提醒eth_sign盲签的风险。

所见即所签：钱包中可以对合约调用进行详尽解析机制，避免Approve钓鱼，让用户知道DApp交易构造时的详细内容。

预执行机制：通过交易预执行机制可以帮助用户了解到交易广播执行后的效果，有助于用户对交易执行进行预判。

尾号相同的提醒：在展示地址的时候醒目的提醒用户检查完整的目标地址，避免尾号相同的问题。设置白名单地址机制，用户可以将常用的地址加入到白名单中，避免类似尾号相同的攻击。

AML合规提醒：在转账的时候通过AML机制提醒用户转账的目标地址是否会触发AML的规则。

标签：SIGNIGNSONMETSignals NetworkSIGN价格songbird币Metaverse Index

莱特币最新价格热门资讯