NFT:Web3安全连载（3）：深入揭秘NFT钓鱼流程及防范技巧

点击阅读：Web3安全连载（1）当硬核黑客开始研究“钓鱼” 你的NFT还安全吗？

点击阅读：Web3安全连载（2）一文看懂典型的NFT合约漏洞有哪些？

我们推出连载系列的最后一篇——NFT钓鱼流程及防范技巧，其中一类是盗取用户签名的钓鱼攻击，另一类是高仿域名和内容的NFT钓鱼网站。那么如果用户不幸中招了怎么办呢？今天我们就来告诉你怎么办。

「钓鱼网站是如何“钓”你的？」

第一种：盗取用户签名 

在前两篇文章里，我们提到过该类钓鱼网站主要是引诱用户在钓鱼网站签名，如果用户签署了签名，则钓鱼网站可以获取到用户钱包中所有的NFT。具体的签名内容如下：

上图中红框一显示的是签名请求的网站来源，红框二显示的是请求的签名内容，由于显示的内容是一串二进制字符，所以用户其实不知道具体签署的是什么服务。

如果用户点击了“Sign”按钮，则可能会授权一些无法预测的服务，包括一些危险操作，如：授权钓鱼网站拥有用户钱包中NFT的转账权限等。

第二种：高仿域名和内容的NFT钓鱼网站 

OKX Web3钱包插件端上线批量添加账户、批量转账等功能:据官方消息，OKX Web3钱包插件端正式上线便捷工具功能，支持用户批量添加账户、批量转账、以及下载钱包地址。其中，批量转账功能提供了转账网络、转账币种、转账数量、转账时间、以及网络费用等多种选择，从而满足用户对Web3钱包的多样化需求。

据了解，OKX Web3钱包是一款异构多链钱包，已支持近60公链，App、插件、网页三端统一，涵盖钱包、DEX、赚币、NFT市场、DApp探索5大板块。此外，OKX Web3钱包即将支持Ordinals NFT交易。[2023/6/6 21:18:43]

前面的的文章里我们提到过该类钓鱼网站主要分为三类，第一类是仅更换原官网的顶级域名，第二类是主域名添加单词或符号进行混淆，第三类是添加二级域名进行混淆的钓鱼网站。

涉及到的钓鱼手法主要分为三种，第一种是伪造NFT项目官网诱用户直接进行转账的钓鱼网站，第二种是使用假空投诱用户授权的钓鱼网站，第三种是诱用户输入钱包助记词的钓鱼网站。下面将对其钓鱼手法进行详细介绍。

1.伪造官网引诱用户直接转账

该类钓鱼网站主要是通过伪造NFT项目官网UI界面，诱用户连接钱包之后，点击“mint”按钮进行铸币。用户点击之后会向虚假的项目方地址转账，但是并不会收到对应的NFT。具体如下图所示：

Web3游戏平台Moxy完成超1000万美元融资:金色财经报道，Web3游戏平台Moxy宣布已完成超1000万美元融资，Shima Capital、Polygon、MetaTope和GSR等投资方参投。Moxy基于FLOW区块链驱动的Web3游戏平台通过去中心化、安全且稳定的方式帮助包括电竞选手和其他玩家参与游戏并获得激励，同时还能让游戏开发者无缝创建基于游戏资产的NFT以推动电竞大众化，此外Moxy还使用统一数字钱包参与游戏生态让玩家存储加密货币和NFT，据悉Nolan Bushnell（Atari创始人）、Lawrence Siegel（世嘉欧洲总裁）和Tony Bickley（世嘉欧洲游戏主管）已加入Moxy团队。[2023/3/13 13:01:15]

用户进入到钓鱼网站后，会首先点击对应的“connect wallet”按钮，连接钱包。之后UI界面会进行刷新，出现如图所示的“mint”按钮。通常页面上还会出现类似“xx用户已经mint了xxNFT”这样的浮动标题，主要是为了刺激用户赶紧点击mint。如下图所示：

CoinsPaid将资本储备金提升至500万欧元，拟推出Web3孵化器:6月21日消息，爱沙尼亚加密支付处理服务提供商 CoinsPaid 已宣布将资本储备金提升至 500 万欧元，旨在配合该国的新监管合规要求，本次增资规模是新法规要求的二十倍。据悉，CoinsPaid 将推出一个孵化器，专门为初创企业带来创新的 Web3 支付解决方案。（CryptoNinjas）[2022/6/21 4:41:50]

用户如果点击“Mint”按钮之后，一般情况下钓鱼网站为了防止自己的转账黑地址泄露，会首先检测钱包余额是否为空。如果为空则不会进行交易，如果不为空才会弹出类似MetaMask的小狐狸钱包，进行交易。

2.假空投诱用户进行NFT授权

该类钓鱼网站主要是利用假空投等手段，诱用户访问钓鱼网站。在用户连接钱包后，就会出现“CLAIM NOW”等引诱用户进行点击的按钮，用户点击之后就会对钓鱼网站的黑地址进行授权。具体如下图所示：

之后获得授权的钓鱼网站会将用户钱包中的NFT全部转走，具体如下图所示：

数字隐私平台HOPR获超100万美元web3生态系统捐赠:2月28日消息，数字隐私平台 HOPR 宣布，团队已经从多个 Web3 项目处获得了总计超 100 万美元的捐款资金，捐赠方包括去中心化索引协议 The Graph、隐私项目 Dusk Network 和 Ankr 协议。HOPR 表示，长期以来团队致力于为 Web3 堆栈的每一层的加密项目进行隐私保护，目前还有至少三个捐赠方尚未公布。[2022/2/28 10:21:10]

下面是受害者被盗取的NFT交易：

3.诱用户填写助记词

该类钓鱼网站主要是在网页连接钱包处，或者其他位置诱用户点击，之后弹出一个伪造的网页，提示用户诸如“MetaMask插件版本需要升级”等信息。如果用户相信并填写了自己的钱包助记词，那么用户的私钥就会上传到攻击者服务器导致用户钱包被盗。具体如下图所示：

原创Web3社交元宇宙聚合基础设施Aster Protocol完成种子轮融资:1月3日消息，Web3 社交元宇宙聚合基础设施 Aster Protocol 宣布完成种子轮融资，本轮融资由 Youbi Capital、Pluto Capital、Lancer Capital、Lucid Blue Ventures 等机构参投，投资者还包括 Republic 亚洲合伙人 Zhen Cao、FBG 合伙人区块链行业连续创业者 Hitters Xu、OP Crypto COO Lucas He 以及其他多位知名风险投资机构的创始人。

Aster Protocol 创造了互联网世界中第一个链上身份聚合协议。受到 Loot、ENS、1inch 等先驱者的启发，该平台提供了一个多链 Web3 协议集合，赋予传统社交媒体平台 Web3 与区块链的功能，将当前所有的 Web2 社交平台与 Web3 应用进行无缝连接。Aster 通过星辰域名服务（Aster Name Service），创新性地允许超过 50 亿的用户零门槛获得区块链资产并且进入 Web3 时代，使用 NFT、DeFi、SocialFi、DAO 以及元宇宙的相关应用，为区块链行业带来更多使用场景。[2022/1/3 8:22:01]

该钓鱼网站弹出如下信息，提示用户检测到了MetaMask的一个安全问题，需要用户升级该钱包插件版本。如果用户在框中输入助记词，则会导致钱包被盗。

「必须学会的防范技巧」

一：防范签名被盗 

目前多数网站为了保护用户安全已经不支持盲签的签名方式，但是如果用户访问某些网站时仍然遇到盲签的情况，请尽量拒绝签署。本文主要讨论以下两种非盲签的情况下，用户如何防范钓鱼。

1.用户签署交易时需要确认签署的内容

如上图所示，用户签署授权时主要是对红框部分的服务条款进行签名，包括：提示用户如果点击“Sign”按钮则代表接受网站的服务条款，这个请求不会发起交易或者消耗gas费，并且该授权状态将在24小时后重置等。以及包括签署签名的用户地址、Nonce值等。

2.用户在进行交易签名前，应进行多方信息交叉验证，确保发起交易的网站是真官网。

二：防范高仿域名和内容的NFT钓鱼网站 

此前文章我们介绍了三种高仿域名和内容的NFT钓鱼网站，其中第三种是直接诱用户输入助记词。针对该类网站，用户只需记住任何要求输入助记词的网页都是不安全的即可。本文主要介绍其他两种钓鱼网站的相关防范措施：

1. 伪造官网引诱用户直接转账

这类的钓鱼网站通常域名和内容都跟原项目官网十分相似，用户在访问时需特别注意识别官网。

1）一般在访问NFT官网时，首页通常有官方社交媒体账号，如：twitter、discord等。

目前很多NFT官方网站都不会直接提供“mint”功能，或将更多数量的NFT放到了诸如Opensea之类的交易所上进行售卖，如下图所示：

同时，一般在NFT项目官网底部都会列举出官网社交账号，下图红框处从左往右依次是：Discord、twitter、traitsniper、opensea。

用户可以访问这些社交账号，首先识别其账号是否是官方账号，通常直接在twitter上搜索项目名称可以发现官方账号，如果存在同名的情况那么注意筛选出关注人数较多的账号，具体如下图所示：

上图中显示的第一个红框就是NFT项目对应的官网，任何其他的网址都是钓鱼网站；第二个红框是该项目在其他平台上的官方链接，如：Opensea交易所等；第三个红框是关注的人数，从人数上也可以对官方账号进行筛选，当然也需要警惕钓鱼大号，最好是进行信息交叉验证，保证自己访问的是官网。

2）假空投诱用户进行NFT授权

攻击者通常会通过Discord等社交账号发布假空投的钓鱼链接，这一类的钓鱼网站往往难以识别真假，本文提出以下几点建议希望帮助用户减少损失。

a. 资产隔离

在进行这类危险交易时，可以采用资产隔离的方式进行，通常包括以下几种类型：

钱包隔离：用户可以将钱包根据用途分为两类，第一类用于存储资产，包括一些大额资产等，该类资产可以使用冷钱包存储提高安全性；第二类用于资产交易，尤其是在进行诸如领取空投这样的危险交易时，可以使用一些临时钱包。临时性的钱包包括：使用MetaMask之类的钱包重新创建一个地址里面存储很少的钱；或一些网络钱包如：Burner Wallet等，该钱包可以通过在网页上简单地设置转账的参数，如：转账地址、金额等，就可以生成一个临时性的小额交易二维码，如下图所示：

交易媒介隔离：通常指的是用户在交易时使用的PC、浏览器等，可以在进行一些可能存在的危险交易时使用不同的PC，或者使用不同的浏览器。

b. 使用项目方智能合约进行mint()

上文提到有很多局在推广免费空投领取时，“mint”按钮实际上触发的是请求用户签名的操作，一旦点击将会批准钓鱼网站转移用户的NFT。所以如果能够确定领取空投的合约地址，直接调用智能合约里的mint()方法是更安全的方式，下图是某NFT的合约：

如上图所示，首先点击“contract”，之后选择“Write Contract”页签，接下来需要点击“Connect to Web3”按钮，连接钱包。如下图所示：

接着点击mint()方法，设置mint需要的NFT数量和金额，点击“Write”按钮即可。这种方式因为是直接调用的合约方法，所以不存在被钓鱼网站盗用签名的情况。但是，用户在调用NFT合约时需注意同样需要交叉验证项目合约的地址，避免被钓鱼合约诱导受。

c. 确认消息源

如果用户收到领取空投的钓鱼网站链接，首先需要确认信息源，一般可以在官方twitter等社交账号上确认下有没有发布的空投消息。如果没有的话，请不要随意点击其他渠道上发布的空投链接。

标签：NFTWEBWEB3MINTUNFT价格Endless Web WorldsMETAWEB3PAalchemint-standards

瑞波币热门资讯