Web3黑暗森林指南: 如何保护你的NFT资产

过去一段时间，针对NFT的盗窃事件层出不穷。方式多种多样，虚假链接、空投欺诈NFT、侵入DISCORD发布虚假铸造链接等，许多玩家不小心点击之后，遭遇财产损失。面对频繁出现的局，玩家该如何保护自己的财产安全？针对这个问题，LooksRare、NFT社区SCC以及知名安全团队慢雾，于2022年5月12日晚上举行推特space，来谈谈NFT玩家该如何保护自己的NFT资产。常见的NFT欺诈和盗窃方式都有哪些？

1.钓鱼网站

最常见的是，黑客注册一个和项目方域名很相似的假域名。如：https://opensea.io是真实地址，https://opens?a.io是钓鱼地址。仔细看那个?并不是英文字母e，非常具有迷惑性，这种字母是Punycode的一种编码方式。黑客往往会在一些社区平台上去发布这些域名，可能还会伴随着虚假消息诱导用户访问。在钓鱼网站方面，LooksRare已经联合第三方共处理了124个LooksRare的虚假网站和129个虚假社交账户。除此之外还有一些其他类型的钓鱼攻击场景：●攻击者发布虚假项目并宣传空投活动，在用户使用metamask登录虚假项目网站的时候，攻击者构造了NFT交易签名内容(用于OpenSea挂单撮合)诱用户完成签名才能登录。用户签名之后黑客利用签名的内容用低价将用户的NFT买走。●攻击者冒充用户在discord发布钓鱼图片诱导用户访问钓鱼网站。●攻击者发布伪装成正常软件的木马程序，让用户运行。2.攻击项目方的社区平台

Web3风险投资在第一季度下降80%:金色财经报道，K33 Research的数据显示，2023年第一季度，Web3风险投资大幅下降，同比下降80%。数据显示，2022年第一季度，风投公司投资了135亿美元，而今年第一季度仅为28亿美元。下降了79%。K33 Research的Anders Helseth表示，市场可能还会进一步下滑。[2023/7/11 10:46:52]

例如盗取项目方的社交平台(Discord，instagram等)。Discord的钓鱼手法：1）利用浏览器恶意书签盗取DiscordToken；2）取项目方人员直接在网页版Discord上输入恶意代码，从而盗取DiscordToken。攻击者得到项目方的DiscordToken后，就能登录项目方的Discord账号，然后在项目方Discord服务器发布虚假信息，引导用户在虚假网站上进行交互从而盗取用户的NFT等加密货币资产。3.中间人攻击

孙宇晨：中国对拥抱Web3.0技术的承诺反映了其认识到区块链解决方案变革潜力方面迈出的重要一步:5月27日，北京市科学技术委员会、中关村科技园区管理委员会在中关村论坛期间发布了《北京市互联网3.0创新发展白皮书（2023）》。该文件认为，互联网3.0是现代科学技术的集大成者，是未来互联网产业发展的必然趋势。

币安创始人CZ在推特上转发相关信息并评论，北京市科技委员会发布了一份有关Web 3.0的白皮书，与此同时，中国香港也在期待6月1日的到来。他认为这两件大事接连发生，时间点上很有趣。

波场TRON创始人、火必Huobi全球顾问委员会成员孙宇晨转发了CZ的推特同时表示，“特别是考虑到即将到来的6月1日的中国香港加密新政生效，中国对拥抱Web 3.0技术的承诺反映了其在认识到去中心化系统和基于区块链的解决方案变革潜力方面迈出的重要一步。”[2023/5/28 9:47:03]

中间人攻击方向有很多种，比如DNS劫持和BGP攻击等。域名劫持又称DNS劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。BGP劫持是指攻击者恶意重新路由互联网流量的情况。攻击者通过不实地宣布实际上没有拥有、控制或路由到的IP地址组的所有权来实现此目的。BGP劫持就好比有人改变一段高速公路上的所有标志，将汽车重新引导到错误的出口。4.代码供应链攻击

欧易Web3钱包与以太坊开源基础设施BlockNative达成官方合作:据官方消息，欧易Web3钱包与以太坊开源基础设施BlockNative达成官方合作关系，用户可以直接通过欧易Web3钱包的Discover板块搜索并进入Blocknative，以使用其所提供的各类以太坊链上工具。此外，用户可连接欧易Web3钱包在BlockNative使用Mempool、查看加密资产和管理MEV。

据悉，欧易Web3钱包是最全面的异构多链钱包，支持50+公链。App、插件、网页三端统一，包含数字货币钱包、DEX、DeFi赚币、NFT市场、DApp探索5大板块。[2023/2/8 11:54:37]

代码供应链攻击是一种针对软件开发人员和供应商的攻击方式。攻击者将内置后门的代码上传到公共存储库，其他开发人员如果不注意对代码进行安全审核，就可能将有害代码应用到自己的开发环境，继而在分发自己开发的软件时，将恶意程序传播给更多用户。案例：npm投攻击

马斯克：元宇宙概念并不让人信服，而Web3更多的是营销而不是现实:12月22日消息，特斯拉CEO埃隆·马斯克近日在接受媒体采访时表示，他看不到VR驱动的元宇宙有什么引人注目的用例，并嘲笑Web3是一个模糊的概念，其中互联网服务是围绕区块链和加密货币重建的，所以更多的是营销而不是现实。

此外，马斯克还表示，他可能只是因为太老而无法理解这些新技术，并补充说他目前无法看到令人信服的元宇宙情况。[2021/12/22 7:57:18]

攻击者发布恶意的npm包进行投，伪装成官方的开发包，盗取助记词和数字资产。慢雾安全团队在05月03日发布安全提醒，攻击者发布恶意的npm包：pensea-wallet-provider，os-wallet-provider。并在伪装的NFT开源项目中偷偷引入这些恶意的包或开发人员使用恶意的npm包来盗取用户的加密货币私钥或助记词。5.空投假的nft

Kathryn Haun：将与a16z合伙人Chris Dixon在明年初推出专注于加密货币和web3的基金:金色财经报道，前联邦检察官、a16z合伙人Kathryn Haun在推特中表示，我将与a16z合伙人Chris Dixon在明年初推出自己的基金，专注于加密货币和web3。目前的加密货币基金将是我在公司的最后一个基金。今天，比以往任何时候都更明显的是，web3将改变互联网，a16z加密货币的团队将继续由cdixon、alive_eth、AriannaSimpson和 AAlbaneseNY领导。我依然会与他们合作，他们就像家人一样。作为董事会合伙人，我将继续致力于管理现有的a16z加密货币组合，并将保留我的董事会席位。[2021/12/16 7:42:30]

给蓝筹持仓用户空投虚假NFT，这类型的nft完全没有价值，当你点击进去，也是给黑客机会。NFT玩家该如何保护自己的资产安全？

1.黑暗森林法则：一是零信任。简单来说就是保持怀疑，而且是始终保持怀疑。二是持续验证。你要相信，你就必须有能力去验证你怀疑的点，并把这种能力养成习惯。具体的内容可以查看慢雾出品的《区块链黑暗森林自救手册》2.对于交互网站，需要交叉核实验证真实性。对于NFT新项目、土狗项目，建议使用新钱包，不使用主资产钱包。3.重视授权，对于登录网站需要做好验证，对于授权尽可能了解内容。经常使用https://revoke.cash/网站上查看自己是否有可疑的授权历史。4.警惕邮件。一定自己去平台官方网站看，而不是通过邮件点过去。欺诈者可以伪造相似的网站、用户名、头像、email等。5.钱包被盗之后，无论是何种原因被盗，都建议更换新钱包。6.任何时候，都不将助记词和私钥交给别人。7.尽可能学习使用冷钱包。LooksRare作为NFT交易平台采取了哪些安全措施？

LooksRare作为NFT交易平台，在交易端上也采取系列措施，可以使得用户能够更安全地进行交易：1.明文授权LooksRare是第一家采取EIP-712签名的交易平台，EIP-712是在用户签名的时候，可以清楚的看到你签名的内容，而不是一串64位复杂的乱码。之前opensea的挂单签名就是一串乱码，用户完全不知道自己签名内容是什么，也因此让很多黑客有机可趁。OpenSea在LooksrRare之后也使用了EIP-712签名。2.提示是否查看NFT的完整信息NFT的形式有html和javascript这种动图形式，用户在LooksRare查看这些NFT的时候我们会多次询问你是否查看这些NFT的完整内容，需要用户多确认一次。我们希望优先考虑用户安全和隐私。因为这类型的NFT中可能包含跟踪像素和其他具有恶意行为的代码。单击该链接，恶意NFT会自动加载并获取用户的IP、设备信息等。虽然大多数的nft项目方并不会作恶，但不会排除小部分黑客会抓到这个漏洞。

3.提示取消挂单当用户有正在挂单的NFT，但是后来NTF被转走了，官网会有一个非常刺目的感叹号来提醒用户取消当前挂单，因为如果用户忘记挂单之后NFT暴涨，NFT转回来后这个挂单其实还会在的，LooksRare会在前端页面隐藏掉你的挂单，给你时间来取消或者激活挂单。保证其他用户在你重新激活或者取消挂单前无法在前端看到这个挂单。

4.未认证的NFT系列需二次确认LooksRare会根据交易量，持有用户数量来判断是否是真实的系列，未认证的系列也会有二次提醒用户使用正确的合约地址再搜索一次。

标签：NFTWEBWEB3DISCNFT-Starterweb3游戏开发web3游戏项目价值排名DISC价格

莱特币热门资讯