作者:NFTLabs,律动研究院
Crypto的世界如同黑暗森林,你的身边可能潜藏着无数危机。近日,就有黑客趁着OpenSea合约升级之时,给所有用户的邮箱发送了一封钓鱼邮件,而不少用户错把其当作官方邮件而将自己的钱包授权,进而导致钱包被盗。据统计,这一封邮件至少导致3个BAYC、37个Azuki、25个NFTWorlds等NFT被盗,按照地板价计算,黑客收入便已高达416万美元。
而就在同天夜晚,「AllinNFT」的同济大学生Niq长期持有的1/1Doodle也被盗,原因是对方找Niq私下磋商交易,在让Niq放松警惕后发给了他一个假的交易网站链接。
如今,我们需要防范的黑客攻击不仅仅存在于技术层面,还来自社会工程学,再加上众多NFT项目的价格水涨船高,稍不留神便会损失巨额资产。鉴于最近NFT领域频发,律动总结了几类常见的手段,希望广大读者时刻提高警惕,不要上当受。
律师观点:针对SEC诉Ripple一案,双方达成和解是最有可能的结果:美国奥兰多Hogan & Hogan律师事务所的律师Jeremy Hogan在一段YouTube视频中讲述了美国SEC起诉Ripple一案最有可能出现的情况。他就表示,根据美国法律,XRP作为一种证券的评估永远不会有一个笼统的“决定”。这位律师认为,这正是我们在销售XRP时看到的情况。随着XRP的用例越来越多,XRP分类账也越来越去中心化,XRP成为证券的可能性也越来越小。
和前SEC委员Joseph Grundfest一样,Hogan也质疑SEC对Ripple采取行动的“真正动机”。他同意Ripple首席执行官Brad Garlinghouse的观点,认为这起诉讼背后可能会对整个加密行业造成“攻击”。此外,Hogan乐观地认为XRP不会被列为证券。美国SEC“没有要求法院声明XRP是一种“证券”,尽管他们可以这样做。此外,正如SEC之前的诉讼所显示的那样,Ripple与SEC达成和解是最有可能的结果。(Crypto News Flash)[2021/1/24 13:21:37]
手段
IDEO CoLab推出针对DeFi初创企业的孵化器计划:区块链风险投资公司IDEO CoLab推出针对DeFi初创企业的孵化器计划DeFi Residency项目。该计划目前吸纳了10家DeFi初创公司,其中3家已经完成孵化,分别为Futureswap、Fairmint和PoolTogether。(The Block Crypto)[2020/12/17 15:35:58]
1、通过Discord私信网站链接
Discord私信链接是是黑客常用的行手段,黑客往往会通过Discord不同的社区批量私信成员,或是冒充社区管理员以帮忙解决问题为由私信用户,取钱包私钥。或者发送虚假的钓鱼网站,告诉用户可以免费领取NFT等等。用户一旦授权给黑客仿造的虚假网站,那么将会给用户带来巨大的亏损。
2、攻击Discord服务器
火币Labs针对区块链创业者会员服务系统已开始内测:3月1日晚间,火币Labs针对区块链创业者专门举办的“2020 Hot Chainers”活动圆满落幕,本次活动在线参与者达5000人。活动期间,火币Labs宣布,针对区块链创业者的“会员服务”系统已进入内测阶段,将于近期逐步开放。
同时,火币集团总裁助理兼Labs总经理袁瑞娟为大家详细解读了《2020中国区块链创业者白皮书》,包括全球区块链产业全景、中国区块链产业新机遇等,并对中国区块链创业者现状进行了详细地描述与分析。
此外,本次活动还邀请到中国饭店协会外卖专业委员会副理事长赵建峰(火币Labs创业营一期学员)在线讲述疫情期间餐饮行业遭遇的经营打击,但由于根据区块链搭建了新型平台,帮助许多餐饮企业度过了危机。[2020/3/2]
Discord服务器被黑客攻击几乎是每一个火爆的NFT项目都会经历的事情,黑客会攻击服务器管理员的账号,之后在服务器的各个频道发布假公告,社区成员去黑客早就搭建好的假网站购买假的NFT。而如今的黑客会通过发送网站等方式取服务器管理员的token,这样即使管理员开启2FA双重认证也无济于事。而如果黑客搭建的网站会要求用户钱包的授权,则会给用户带来更加严重的财产损失。
Web3软件开发公司Thirdweb集成可租赁NFT标准ERC-4907:金色财经消息,Web3软件开发公司Thirdweb现已集成可租赁NFT标准“ERC-4907”,开发者无需编写任何代码即可快速部署可租赁NFT。
“ERC-4907”由Double Protocol推出,并于6月29日正式成为以太坊第30个标准。该标准实现了NFT所有权和使用权的分离,以及使用权到期自动收回功能。[2022/8/18 12:34:19]
3、发送虚假交易链接
这类术常见于子与用户私下磋商的NFT交易过程。Sudoswap、NFTtrader等交易平台鼓励用户通过私下磋商的方式「交换」彼此的NFT或token,而这些平台也为私下磋商成的交易提供了安全保障,这对于NFT市场来说本是一件好事,但如今有黑客开始通过仿造的Sudoswap、NFTtrader网站进行。
火币大学于佳宁:NFT即将引发资产数字化的十年机遇:3月29日,火币大学校长于佳宁受邀参加《局·势|新力量 2021 区块链生态应用创新峰会》,以“NFT即将开启资产数字化的为达十年”为主题展开演讲。
于佳宁认为,NFT(非同质化通证)是运行在区块链技术网络上的一种新型的数字资产,NFT是赋能万物的“价值机器”,即将引发资产数字化的十年机遇。未来,一切皆可NFT,短期来看,主要是实现以艺术品为代表的线上虚拟财产来实现数字化确权、流转和交易;中期来看,未来股票、私募股权等传统现实世界中的资产会实现上链,随时能够实现流动性转化;长期来看,通过预言机体系等,实现实物资产从资产上网到资产上链的过程,将承载更丰富的资产价值。[2021/3/29 19:26:42]
Sudoswap、NFTtrader在磋商完成后需要用户发起一笔交易,这一步骤会生成一个订单确认网站,双方确认后交易会通过智能合约自动进行。子在一开始会假装与你商议交换哪些NFT,并先为你展示一个真的网站链接,随后提出对交易进行修改,在交易者放松警惕后,子会发送一个链接,用户点击确认交易后,钱包中对应的NFT便会被发送至子的钱包中。
4、取助记词
子会通过各种手段诱导用户将私钥或助记词发送给自己,比如搭建网站、假装自己是来帮助用户的管理员等,种种行为均是为了降低用户的警惕,伺机走私钥和助记词。
5、创建假的Collection,在项目的Discord公开频道寻求交易
虚假NFT合集是在很多热门项目发售前最容易遇到的。当NFT盲盒正式上线前,子会提前在OpenSea等NFT交易平台上传名称类似的NFT合集,并且提前通过官方释放出的信息精美的「装修」好这个合集。真正的NFT合集在没上线的情况下,用户优先会搜索到名字最为接近的合集。有些子为了让用户相信还会制造几笔交易,给当前挂单的假冒NFT发送Offer出价。
为了节省平台和项目方的版税抽成,社区成员之间会进行私下交易,除了上文所谈到的通过仿造Sudoswap、NFTtrader网站之外,也有子通过在社区频道发送略低于地板价的假NFT合集链接。用户往往会在急于抢购低于地板价NFT时忽略了NFT的真实性从而受。
6、假邮件
大部分的NFT平台都会要求用户绑定邮箱,以方便用户能够第一时间知道自己NFT的交易情况,因此邮箱也成为了泛滥的聚集地。子通常会伪装成OpenSea平台的官方账号,以合约地址需要修改或钱包需要重新验证等方式向用户发送钓鱼网站链接。近日OpenSea在公布合约升级之后,黑客便是以这种方式取用户财产近400万美元。截止撰稿日期,OpenSea团队仍然在排查受损用户。
防指南
1、网址甄别
无论黑客采用何种天花乱坠的包装,和如何令你意乱神迷的语言描述,在最终他盗走你的加密资产之时,始终需要一个和你的钱包发生交互的途径。普通用户或许不具备辨别合约风险的能力,但幸运的是,我们至今仍处在一个web2所主导的互联网世界。几乎所有的加密合约都需要借助一个web2的前端网页来和用户交互。
因此,几乎绝大多数面向用户的加密资产盗窃都是发生在仿冒的钓鱼网站之上。而一旦了解了如何鉴别钓鱼网站,将足以帮你避开99%的加密资产盗窃。
对于伴随着智能手机成长起来的Z世代来说,他们生活在一个又一个App营造的「生态」之中,对于web网页这个陈旧的事物或许已经疏于了解了。在web2时代,DNS域名系统为每一个网站赋予了全网唯一的身份标识,了解域名构成的基本规则,将足以应对几乎全部的虚假钓鱼网站。
在传统的DNS域名中,域名层级分为三级。从第一个分隔符开始从右至左阅读,每个句号分隔开一个层级。以https://www.opensea.io/为例「.io」和「.com」、「.cn」等类似,被称为顶级域名,该字段不可自定义。「opensea」被称为二级域名,也即域名的主体,同一顶级域名下该字段不可重复。「www」部分则为三级域名,该字段网站运营者可自行设置。甚至运营者还可在「www」之前继续添加四级域名、五级域名。
域名的层级顺序是反直觉的:即从右至左层级逐渐降低。这一设计与大多数人的阅读习惯恰恰相反,也让攻击者有了可乘之机。举例来说,https://www.opensea.io.example.com该地址虽然和opensea地址高度相似,但其实际域名却为「example.com」而非「opensea.io」。
Web3是否还有钓鱼攻击我们尚且难以预测。但在Web2的世界里,DNS域名系统确保了域名的唯一性,在域名为真的情况下,用户几乎不可能打开虚假网站。
2、不要泄露私钥或助记词
Crypto钱包不像Web2的电子邮件等账户,私钥与助记词无法修改、找回,一旦泄露就意味着这个钱包将同时归属于你与黑客,你钱包内所有的资产都可以随时被黑客转移,而由于以太坊地址的匿名性,你也无法查明黑客到底是谁,损失自然也无法追回,这个钱包也不能再继续使用。
3、及时取消钱包授权
如果你已经在网站授权钱包,可以及时前往以下三个地址检查钱包授权情况并及时取消:
https://etherscan.io/tokenapprovalchecker
https://revoke.cash/
https://debank.com/
印度周二提议对加密货币和NFT等虚拟数字资产的转让收入征收30%的税。政府官员表示,此举是希望利用高额税率有效消除有关加密货币交易法律地位的不确定性.
本文来自?The?Block,原文作者:RyanWeeksOdaily星球日报译者?|念银思唐 摘要: -SafeFoundation正在通过面向战略投资者的私人代币销售融资1亿美元.
今晨,关于OpenSea疑似出现bug一事引发了大量关注与热议。事件起因为,多位用户今晨于推特发布警告称,OpenSea昨日推出的新迁移合约疑似出现bug,攻击者正利用该bug窃取大量NFT并卖.
尊敬的用戶:Hotcoin將於(GMT8)2022年2月22日17:00開放POLY/USDT交易業務.
尊敬的用戶:Hotcoin將於(GMT8)2022年2月17日18:00開放KP3R/USDT交易業務.
随着VICS代币宣布在MEXCGlobal上市,将全球交易者、投资者和世界各地的加密货币爱好者联系在一起.
区块见闻