By:山
“我不需要知道Jerry是谁,在网络上做生意,你相信的就是网络上的小面板,剥掉面板,你就知道这玩意实际上有多脆弱,而事实上在那网站后面操作的真人,他们才是你需要信任的人。“
——《别相信任何人:虚拟货币悬案》
NFT?背景
2008年11月1日,中本聪提出比特币的概念,2009年1月3日,比特币正式诞生,而后随着全球数字经济加速发展,加密资产等概念爆热,2012年第一个类似NFT的通证ColoredCoin诞生。彩色币由小面额的比特币组成,最小单位为一聪。随着技术的持续发展,时间一转来到2021年,NFT迎来了爆发性增长,逐步成为市场最热的投资风向标之一。
艺术家Beeple的NFT作品《Everydays:TheFirst5000Days》在佳士得官网上以69,346,250美元成交,虚拟游戏平台Sandbox上的一块虚拟土地以430万美元售出……随着水涨船高,层出不穷的高价项目持续刺激着人们的神经。然后在高价光环之下,NFT也渐渐进入了犯罪分子的视野,从此开启了针对NFT的疯狂钓鱼、盗窃等行动。
NFT?现状
引言这段话出自Netflix的自制纪录片《别相信任何人:虚拟货币悬案》,故事讲述加拿大最大加密货币交易所QuadrigaCX首席执行官格里·科滕离奇死亡后,他将2.5亿美元客户资金密码也带进了坟墓。大量惊恐的投资者拒绝接受官方的说法,他们认为格里的“死亡”具有“金蝉脱壳”的所有特征:他还活着,已经带着投资者的钱跑路了!
其实QuadrigaCX的故事只是Web3世界的冰山一角,而我们今天要聊的NFT世界里,被盗几乎每天都在上演,列举几个知名案例:
2021年2月21日,OpenSea用户遭到personal_sign类型网络钓鱼攻击,有32位用户签署了来自攻击者的恶意交易,导致用户部分NFT被盗,包括BAYC、Azuki等近百个NFT,按当时价格计算,黑客获利420万美元;
2022年4月29日,周杰伦持有价值320万元的无聊猿?NFT?被盗;
2022年5月25日,推特用户@0xLosingMoney称监测到ID为@Dvincent_的用户通过发布钓鱼网站p2peersio盗走了29枚Moonbirds系列NFT,价值超70万美元;
2022年6月28日,Web3项目Metabergs创作者Nickydooodles.eth发推称,黑客使用钓鱼手段攻击了他的钱包,损失了17枚ETH和全部NFT藏品,包括GoblintownNFT、DoodlesNFT、SandboxLand等;
2022年11月1日,KUMALEON项目的Discord遭黑客入侵,攻击者通过发布钓鱼链接的方式实施攻击,导致社区用户大约111枚NFT被盗,包括BAYC#5313、ENS、ALIENFRENS和ArtBlocks等;
2021年12月31日,推特用户Kramer在推特称其点击了一个看起来像真的NFTDApp链接,结果这是一次网络钓鱼攻击,他的16个NFT被盗,包括8个BoredApes、7个MutantApes和1个Clonex,价值190万美元;
2023年1月15日,知名博主@NFT_GOD因点击谷歌上的钓鱼广告链接,导致所有账户、加密货币以及NFT被盗;
2023年1月26日,NFT知名项目Moonbirds创始人KevinRose的钱包被盗,丢失约40枚NFT,损失超过200万美元;
Luxor挖矿产出最大的比特币区块,包含Taproot Wizard NFT:2月2日消息,比特币矿业公司Luxor于2月1日挖矿了有史以来最大的比特币区块,该区块大小为3.96MB,略低于比特币的4 MB限制。该区块包含一个基于原始“magic internet money”meme NFT ,但名称为Taproot Wizards,NFT的交易费用为209美元(尽管可能只是支付给自己)。
NFT出现在比特币社区的一场争论中,争论的焦点是这些NFT是否是比特币区块链的合理使用,或者它们是否是垃圾邮件,应予以劝阻,甚至消除。Luxor似乎在证明这些都属于比特币。(TheBlock)[2023/2/2 11:43:56]
2023年1月28日,NFT知名项目Azuki官方Twitter账号被黑,导致其粉丝连接到钓鱼链接,超122枚NFT被盗,损失超过78万美元;
2023年2月8日,一名受害者因一个存在已久的NFT钓鱼局,连接到钓鱼地址,损失超过1,200,000美元的USDC;
……
鉴于NFT被盗的频发和影响严重性,慢雾科技针对NFT钓鱼团伙发布两次针对性追踪分析:
2022年12月24日,慢雾科技首次全球披露《朝鲜APT大规模NFT钓鱼分析》,APT团伙针对加密生态的NFT用户进行大规模钓鱼活动,相关地址已被MistTrack标记为高风险钓鱼地址,交易数也非常多,APT团伙共收到1055个NFT,售出后获利近300枚ETH。?
2023年2月10日,慢雾科技再次发布《数千万美金大盗团伙MonkeyDrainer的神秘面纱》,据MistTrack相关数据统计,MonkeyDrainer团伙通过钓鱼的方式共计获利约1297.2万美元,其中钓鱼NFT数量7,059个,获利4,695.91ETH,约合761万美元,占所获资金比例58.66%;ERC20Token获利约536.2万美元,占所获资金比例41.34%,其中主要获利ERC20Token类型为USDC,USDT,LINK,ENS,stETH。
除此之外,据慢雾区块链被黑事件档案库和Elliptic的数据统计,截止2023年1月,NFT被盗的知名安全事件有几百起,攻击者偷走了价值近2亿美元的NFT。
据SlowMist数据显示,2022年NFT盗窃案主要集中在Ethererum链,发生在社交媒体平台上,通过虚假域名、项目方相似域名、恶意木马、Discord入侵发布虚假链接钓鱼等手法进行攻击,者平均每次盗窃10万美元。似乎不论牛市还是熊市,只有黑客在“0元购”赚的盆满钵满。
那么问题来了:不管是普通用户还是项目方创始人都屡遭钓鱼攻击,面对如此恶劣的NFT钓鱼、欺诈环境,NFT用户是不是就毫无办法?用户就是待宰的羔羊吗?
1inch Network推出NFT功能:金色财经报道,去中心化交易聚合平台1inch Network推出NFT功能,NFT支持功能使用户能够看到他们地址中持有的所有NFT,按收藏品组织,并查看它们的信息。用户还可以将他们的NFT发送到其他钱包。由于与OpenSea团队合作完成OpenSea API的整合,用户能够购买新的NFT并立即存储在他们的1inch钱包中。
1inch Network的联合创始人Sergej Kunz称,NFT是区块链领域一个非常有前景的领域,我们希望让用户能够以最方便有效的方式存储和管理他们的NFT。[2022/3/17 14:01:03]
No!现在我们安全防御一直推行人防+技防的手段,即人员安全意识防御+技术手段防御。人员安全意识防御即个人安全意识,建议加密货币从业者可以学习下区块链黑暗森林自救手册:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/
鉴于人是个复杂的高等动物,所以人员安全意识防御我们今天不展开讲,大家区块链黑暗森林自救手册好好读一下。
而技术防御手段又是什么?简单讲就是通过软硬件、浏览器插件等安全方式来保证资产等安全,而在NFT用户群体,浏览器交互是90%的NFT用户最常用的操作方式,也是最容易出现问题的环境,现在市场上已经有多款防钓鱼浏览器插件,下面我们来盘点与对比下,希望能给NFT用户一些安全指引。
安全插件对比
免责提示:以下对比的几款浏览器安全插件仅从基本信息层、NFT实时钓鱼检测层、基本操作层进行对比,慢雾仅作为中立第三方,不承担任何义务和法律责任。
下面我们来从几个角度评比下几款我们熟悉的防钓鱼浏览器插件,看看他们各自都有哪些特点:
1、是否开源、安装次数、支持链、主要功能描述:
2、NFT钓鱼网站、实时黑名单真实测试:
我们找最常见的朝鲜APTNFT钓鱼特征和MonkeyDrainerNFT钓鱼特征,进行实时特征扫描,找到团伙最新的钓鱼网站,发现时差3小时左右,来看下各个防钓鱼插件的反馈情况:
最新恶意NFT钓鱼站点:https://blur.do
下面为测试内容:
1-PeckShieldAlert
数字艺术家Pak推出通过“烧毁” NFT获得新代币的平台:数字艺术家Pak已推出一个名为burn.art的NFT销毁平台,以及一个名为ASH的代币。发言人告称,在未来Pak的一些NFT收藏品中,将选择仅接受ASH作为交换媒介。burn.art允许任何NFT所有者“烧毁”其NFT并获取ASH作为回报。(The Block)[2021/4/13 20:12:28]
结果:无任何提示,仍正常打开钓鱼网站。
2-PocketUniverse
结果:无任何提示,仍正常打开钓鱼网站。
3-Revoke.cash
结果:无任何提示,仍正常打开钓鱼网站。
4-Fire
结果:无任何提示,仍正常打开钓鱼网站。
5-ScamSniffer
结果:提醒钓鱼网站并阻止访问钓鱼网站。
6-WalletGuard
结果:无任何提示,仍正常打开钓鱼网站。
7-?MetaDock
球星皮克向数字足球NFT收藏平台Sorare投资430万美元:12月18日,数字足球NFT收藏平台Sorare宣布,巴塞罗那足球俱乐部球星杰拉德·皮克向该平台投资430万美元,使得Sorare种子轮融资总额达到了900万美元,皮克也将作为战略顾问加入Sorare。[2020/12/18 15:41:42]
结果:无任何提示,仍正常打开钓鱼网站。
8-Metashield
结果:无任何提示,仍正常打开钓鱼网站。
9-Stelo
结果:无任何提示,仍正常打开钓鱼网站。
为了测试NFT站点钓鱼的实时性、真实性,9个安装的插件展示如下:
以上是以3小时时差级别的真实NFT钓鱼网站结果。?
3、基本操作层测试内容
1?-?PeckShieldAlert
安装后是让用户自己输入一个TokenContract来检测,这种方式不符合目前NFT用户急于第一时间知道站点是否是钓鱼网站的需求。它更像一个在线恶意合约扫描器插件。
personal_sign测试:无提示。
2-PocketUniverse
安装后可以知道逻辑用户触发交易时开始检测,所以在第一步用户打开NFT钓鱼网站时,是不能第一时间提醒用户的。我们来看下第二步:
NFT交易平台84club已获得夏虎基金200万种子风险投资:据官方消息,NFT交易平台84club已获得夏虎基金(Summer Tiger Fund)200万种子风险投资。
夏虎基金(Summer Tiger Fund)是一家专注于分散式金融(“DeFi”)、人工智能(“AI”)和金融科技领域的风险投资。该基金为新公司提供的从种子到系列A的融资,同时也将在公开市场上买入前景看好但估值偏低的加密货币和DeFi平台。?
据84club创始人兼CEO Eileen介绍:“84club致力于打造低门槛、便捷、顺畅的NFT交易平台;后期,84club将会通过支持NFT铸造、NFT+Defi以及成立NFT藏品基金等创新型产品的方式全方位支持NFT生态发展。”[2020/11/24 21:55:56]
personal_sign测试:提醒用户已经根据链上地址识别出风险地址,让用户不要签名,还是不错的,符合安全插件预期。
3-Revoke.cash
第一步没有标示出NFT钓鱼网站,在第二步用户连接钓鱼网站后,根据链上地址识别出风险地址,提醒用户不要签名。符合安全插件预期。
personal_sign测试:
4-Fire
第一步没有标示出NFT钓鱼网站,在第二步用户连接钓鱼网站后,根据链上地址没有识别出风险地址,也没有提示签名风险。但是Fire可以把签名预执行内容可读性显示出来,这点比较不错。
personal_sign测试:无提示。
5-ScamSniffer
安装后用户访问NFT钓鱼网站时,直接提示风险并阻断了访问钓鱼网站。符合安全插件预期。
personal_sign测试:无提示。
6-WalletGuard
安装后是在用户触发交易时开始检测,所以在第一步用户打开NFT钓鱼网站时,不能第一时间提醒用户,我们来看下第二步:
personal_sign测试:提醒用户现在已经标记到这个钓鱼网站,提醒有风险,不要签名,还是不错的。符合安全插件预期。
7-MetaDock
安装后用户连接钓鱼网站,钓鱼网站取用户签名时,插件依旧没什么提示,无任何风险提示。更像是需要用户主动去提交扫描的方式,不符合安全插件预期。可能MetaDock不是一个防钓鱼插件?有兴趣的小伙伴可以找项目方确认下。
personal_sign测试:无提示。
8-Metashield
安装后与“MetaDock”、“PeckShieldAlert”类似,用户连接钓鱼网站,钓鱼网站取用户签名时,插件依旧没什么提示,无任何风险提示。需要用户主动去提交扫描的方式,不符合安全插件预期。
personal_sign测试:无任何提示。
9-Stelo
安装后用户连接钓鱼网站,钓鱼网站取用户签名时,插件依旧没什么提示,无任何风险提示。
personal_sign测试:恶意信息提示为低风险。不符合安全插件预期。
至此,对比结束。
最终对比结果
下图为最终对比结果:
在对比后,我们发现在第一步的识别上多数安全插件都做得不够好,只有ScamSniffer识别到了这个3小时时差的最新NFT钓鱼网站,在第二步开始eth_sign、personal_sign签名等危险操作时,PocketUniverse、Revoke.cash、WalletGuard?均做出了安全风险识别等提醒。
但这只是目前的基础对比项,未来可能会进一步细化。
测试的安全插件名称及版本号如下图:
在此感谢吴说区块链的抛砖引玉;感谢以上优秀的插件项目方,虽然产品定位、对比结果各不相同,不少仍有改进的空间,但是他们的努力让区块链安全更进一步!
除此之外,推荐一个使用组合:
1、Rabbywallet+ScamSniffer
2、Rabbywallet+PocketUniverse
3、MetaMask+PocketUniverse
4、MetaMask+Revoke.cash
写在最后
纵观区块链行业的钓鱼攻击,对个人用户来说,风险主要在“域名、签名”两个核心点,其中90%的NFT钓鱼都跟虚假域名有关。对用户来说,在进行链上操作前,提前了解目标地址的风险情况是十分必要的,如果用户在打开一个钓鱼页面时,相关的浏览器安全插件或钱包就能直接提示风险,这样就可以把风险阻断在第一步,直接阻断了用户后面的风险。就像Web2世界中360时代,直接解决了当时小白用户被病攻击的困扰,但它也并非解决了所有木马病问题,因为病的查杀和病的免杀永远存在时间差,如何做到时间差更小、样本数更快、识别更精准就决定了杀软件的厉害程度。
同样,在区块链、NFT行业,如何能第一步识别、提醒到钓鱼站点的实时情况,在用户端快速反馈、识别出钓鱼网站,就决定了一款防钓鱼安全插件的能力;而如果相关产品因为时间差的问题没有在第一步识别到这些钓鱼域名,用户丢币的风险就大大增加;那么接下来到第二步,用户交互时授权链接、签名步骤,如果浏览器安全插件或钱包有签识别,能够识别、友好的展示出用户要签名的详细信息,如授权什么币种、授权多少、授权给谁等人类可读数据,比如RabbyWallet,在一定程度上也可以提示风险,一定程度上可以避免陷入资金损失的境地。
对钱包项目方来说,首先是需要进行全面的安全审计,重点提升用户交互安全部分,加强所见即所签机制,减少用户被钓鱼风险,如:
钓鱼网站提醒:通过生态或者社区的力量汇聚各类钓鱼网站,并在用户与这些钓鱼网站交互的时候对风险进行醒目地提醒和告警。
签名的识别和提醒:识别并提醒eth_sign、personal_sign、signTypedData这类签名的请求,并重点提醒eth_sign盲签的风险。
所见即所签:钱包中可以对合约调用进行详尽解析机制,避免Approve钓鱼,让用户知道DApp交易构造时的详细内容。
预执行机制:通过交易预执行机制可以帮助用户了解到交易广播执行后的效果,有助于用户对交易执行进行预判。
尾号相同的提醒:在展示地址的时候醒目的提醒用户检查完整的目标地址,避免尾号相同的问题。设置白名单地址机制,用户可以将常用的地址加入到白名单中,避免类似尾号相同的攻击。
AML合规提醒:在转账的时候通过AML机制提醒用户转账的目标地址是否会触发AML的规则。
去年11月,由OpenAI公司发布的大型聊天机器人软件ChatGPT“一夜蹿红”,上线短短两三个月,用户规模或已超过1亿.
1900/1/1 0:00:00头条▌破产律师称FTX资产“严重短缺”金色财经报道,根据一份新闻稿,FTX的资产“严重短缺”,该新闻稿详细介绍了将于周四在破产加密货币交易所中提交的一份报告.
1900/1/1 0:00:001.Pantera合伙人:当前ZK解决方案和用例一览区块链为安全的、去中心化的交易开辟了新的途径,为去中心化金融和数字身份服务等发展铺平了道路.
1900/1/1 0:00:00撰文:Nancy继美国监管机构向质押、稳定币等加密业务挥起监管大棒后,NFT项目也面临着证券认定的“灵魂拷问”.
1900/1/1 0:00:00试想,你下载了一款热门的足球经理游戏,几分钟的新手教学之后,你以虚拟人化身进入俱乐部主场球场,比赛过程将完全重现在你眼帘.
1900/1/1 0:00:00原文作者:yyy昨晚Coinbase宣布入场做了一条基于OPStack的L2——@BuildOnBase,一时间「BullishonOptimism」的情绪又再度被点燃.
1900/1/1 0:00:00