木星链 木星链
Ctrl+D收藏木星链
首页 > BNB > 正文

NFT:Web3安全连载(3) | 深入揭秘NFT钓鱼流程及防范技巧

作者:

时间:1900/1/1 0:00:00

点击阅读:Web3安全连载当硬核黑客开始研究“钓鱼”你的NFT还安全吗?

点击阅读:Web3安全连载一文看懂典型的NFT合约漏洞有哪些?

我们推出连载系列的最后一篇——NFT钓鱼流程及防范技巧,其中一类是盗取用户签名的钓鱼攻击,另一类是高仿域名和内容的NFT钓鱼网站。那么如果用户不幸中招了怎么办呢?今天我们就来告诉你怎么办。

「钓鱼网站是如何“钓”你的?」

第一种:盗取用户签名?

在前两篇文章里,我们提到过该类钓鱼网站主要是引诱用户在钓鱼网站签名,如果用户签署了签名,则钓鱼网站可以获取到用户钱包中所有的NFT。具体的签名内容如下:

上图中红框一显示的是签名请求的网站来源,红框二显示的是请求的签名内容,由于显示的内容是一串二进制字符,所以用户其实不知道具体签署的是什么服务。

如果用户点击了“Sign”按钮,则可能会授权一些无法预测的服务,包括一些危险操作,如:授权钓鱼网站拥有用户钱包中NFT的转账权限等。

第二种:高仿域名和内容的NFT钓鱼网站?

前面的的文章里我们提到过该类钓鱼网站主要分为三类,第一类是仅更换原官网的顶级域名,第二类是主域名添加单词或符号进行混淆,第三类是添加二级域名进行混淆的钓鱼网站。

涉及到的钓鱼手法主要分为三种,第一种是伪造NFT项目官网诱用户直接进行转账的钓鱼网站,第二种是使用假空投诱用户授权的钓鱼网站,第三种是诱用户输入钱包助记词的钓鱼网站。下面将对其钓鱼手法进行详细介绍。

Hashed联合创始人Alex Shin将加入Mysten Labs CEO的Web3基金:3月2日消息,Hashed联合创始人AlexShin和资深对冲基金投资者Sandeep Ramesh将作为普通合伙人加入Mysten Labs首席执行官Evan Cheng新创立的Web3风险基金。

金色财经此前报道,Sui开发公司Mysten Labs首席执行官寻求为一个Web3基金筹集超1亿美元资金,该基金将不限于Sui生态。(TheBlock)[2023/3/2 12:37:43]

1.伪造官网引诱用户直接转账

该类钓鱼网站主要是通过伪造NFT项目官网UI界面,诱用户连接钱包之后,点击“mint”按钮进行铸币。用户点击之后会向虚假的项目方地址转账,但是并不会收到对应的NFT。具体如下图所示:

用户进入到钓鱼网站后,会首先点击对应的“connectwallet”按钮,连接钱包。之后UI界面会进行刷新,出现如图所示的“mint”按钮。通常页面上还会出现类似“xx用户已经mint了xxNFT”这样的浮动标题,主要是为了刺激用户赶紧点击mint。如下图所示:

BNB Chain推出针对Web3女性的新导师计划Web3WonderWomen:金色财经报道,BNB Chain发文称,推出一个针对Web3女性的新导师计划,名为Web3WonderWomen,旨在增强和培养Web3生态系统中的年轻女性社区。

该计划包括两个动态计划:WWW创始人和WWW学习者。前者旨在指导下一代女性企业家,为她们提供在行业取得成功所需的工具和支持,而后者则致力于为应届毕业生和学生提供Web3世界的全面教育。[2023/2/17 12:12:03]

用户如果点击“Mint”按钮之后,一般情况下钓鱼网站为了防止自己的转账黑地址泄露,会首先检测钱包余额是否为空。如果为空则不会进行交易,如果不为空才会弹出类似MetaMask的小狐狸钱包,进行交易。

2.假空投诱用户进行NFT授权

该类钓鱼网站主要是利用假空投等手段,诱用户访问钓鱼网站。在用户连接钱包后,就会出现“CLAIMNOW”等引诱用户进行点击的按钮,用户点击之后就会对钓鱼网站的黑地址进行授权。具体如下图所示:

Web3忠诚度平台Cub3完成650万美元A轮融资:金色财经报道,Web3 忠诚度平台 Cub3 完成 650 万美元 A 轮融资,Bitkraft 和 Fabric Ventures 领投,CMT Digital、Red Beard Ventures 和 Geometry Labs 等参投。Cub3 平台帮助品牌创建忠诚度计划,并以 Token 形式激励用户完成任务。[2023/2/10 11:58:00]

之后获得授权的钓鱼网站会将用户钱包中的NFT全部转走,具体如下图所示:

下面是受害者被盗取的NFT交易:

3.诱用户填写助记词

该类钓鱼网站主要是在网页连接钱包处,或者其他位置诱用户点击,之后弹出一个伪造的网页,提示用户诸如“MetaMask插件版本需要升级”等信息。如果用户相信并填写了自己的钱包助记词,那么用户的私钥就会上传到攻击者服务器导致用户钱包被盗。具体如下图所示:

Digital Insights Ventures 创始人:为了使Web3成功,人们需要了解辅助系统将如何蓬勃发展:金色财经现场报道,在Coinlive举办的峰会上,新加坡区块链协会 (BAS) 可持续发展与影响小组委员会创始主席兼Digital Insights Ventures 创始人 Krishna Ramachandra 以主题演讲“Web3 和人工智能 (AI):助力去中心化技术的代币化和可持续性。”他分享了 Digital Insights 采用的核心见解:交互、互操作性、集成和互连。

此外,他还谈到了网络的语义,并解释说Web3,当你分解它时,它只是指你对数据使用方式的控制。他解释说,为了使Web3成功,人们需要了解辅助系统将如何蓬勃发展。他在演讲结束时说,如果有影响力或权力的人不帮助可持续发展的叙述,我们将永远不会看到Web3的全部力量。[2022/12/22 22:00:35]

该钓鱼网站弹出如下信息,提示用户检测到了MetaMask的一个安全问题,需要用户升级该钱包插件版本。如果用户在框中输入助记词,则会导致钱包被盗。

注意,如上图红框处所示,该跳转的钓鱼页面上网址并非是正常的域名网址,而变成了一串异常数值。用户也可以通过对比MetaMask官网域名与该页面异常网址识别钓鱼页面。

「必须学会的防范技巧」

一:防范签名被盗?

目前多数网站为了保护用户安全已经不支持盲签的签名方式,但是如果用户访问某些网站时仍然遇到盲签的情况,请尽量拒绝签署。本文主要讨论以下两种非盲签的情况下,用户如何防范钓鱼。

Mailchain推出多钱包Web3电子邮件解决方案:9月19日消息,Web3 的新通信层Mailchain推出了首个多钱包电子邮件解决方案。使用 Mailchain的Web3收件箱,用户就可以使用公共区块链地址发送和接收私人消息,团队和个人也能接收有关链上活动通知,然后通过任何协议以任何身份进行通信,集成到Mailchain的项目、DAO、交易平台和协议均可直接与用户进行钱包到钱包通信。

此前消息,Mailchain宣布完成460万美元种子轮融资。[2022/9/19 7:06:10]

1.用户签署交易时需要确认签署的内容

如上图所示,用户签署授权时主要是对红框部分的服务条款进行签名,包括:提示用户如果点击“Sign”按钮则代表接受网站的服务条款,这个请求不会发起交易或者消耗gas费,并且该授权状态将在24小时后重置等。以及包括签署签名的用户地址、Nonce值等。

2.用户在进行交易签名前,应进行多方信息交叉验证,确保发起交易的网站是真官网。

二:防范高仿域名和内容的NFT钓鱼网站?

此前文章我们介绍了三种高仿域名和内容的NFT钓鱼网站,其中第三种是直接诱用户输入助记词。针对该类网站,用户只需记住任何要求输入助记词的网页都是不安全的即可。本文主要介绍其他两种钓鱼网站的相关防范措施:

1.伪造官网引诱用户直接转账

这类的钓鱼网站通常域名和内容都跟原项目官网十分相似,用户在访问时需特别注意识别官网。

1)一般在访问NFT官网时,首页通常有官方社交媒体账号,如:twitter、discord等。

目前很多NFT官方网站都不会直接提供“mint”功能,或将更多数量的NFT放到了诸如Opensea之类的交易所上进行售卖,如下图所示:

同时,一般在NFT项目官网底部都会列举出官网社交账号,下图红框处从左往右依次是:Discord、twitter、traitsniper、opensea。

用户可以访问这些社交账号,首先识别其账号是否是官方账号,通常直接在twitter上搜索项目名称可以发现官方账号,如果存在同名的情况那么注意筛选出关注人数较多的账号,具体如下图所示:

上图中显示的第一个红框就是NFT项目对应的官网,任何其他的网址都是钓鱼网站;第二个红框是该项目在其他平台上的官方链接,如:Opensea交易所等;第三个红框是关注的人数,从人数上也可以对官方账号进行筛选,当然也需要警惕钓鱼大号,最好是进行信息交叉验证,保证自己访问的是官网。

2)假空投诱用户进行NFT授权

攻击者通常会通过Discord等社交账号发布假空投的钓鱼链接,这一类的钓鱼网站往往难以识别真假,本文提出以下几点建议希望帮助用户减少损失。

a.资产隔离

在进行这类危险交易时,可以采用资产隔离的方式进行,通常包括以下几种类型:

钱包隔离:用户可以将钱包根据用途分为两类,第一类用于存储资产,包括一些大额资产等,该类资产可以使用冷钱包存储提高安全性;第二类用于资产交易,尤其是在进行诸如领取空投这样的危险交易时,可以使用一些临时钱包。临时性的钱包包括:使用MetaMask之类的钱包重新创建一个地址里面存储很少的钱;或一些网络钱包如:BurnerWallet等,该钱包可以通过在网页上简单地设置转账的参数,如:转账地址、金额等,就可以生成一个临时性的小额交易二维码,如下图所示:

交易媒介隔离:通常指的是用户在交易时使用的PC、浏览器等,可以在进行一些可能存在的危险交易时使用不同的PC,或者使用不同的浏览器。

b.使用项目方智能合约进行mint()

上文提到有很多局在推广免费空投领取时,“mint”按钮实际上触发的是请求用户签名的操作,一旦点击将会批准钓鱼网站转移用户的NFT。所以如果能够确定领取空投的合约地址,直接调用智能合约里的mint()方法是更安全的方式,下图是某NFT的合约:

如上图所示,首先点击“contract”,之后选择“WriteContract”页签,接下来需要点击“ConnecttoWeb3”按钮,连接钱包。如下图所示:

接着点击mint()方法,设置mint需要的NFT数量和金额,点击“Write”按钮即可。这种方式因为是直接调用的合约方法,所以不存在被钓鱼网站盗用签名的情况。但是,用户在调用NFT合约时需注意同样需要交叉验证项目合约的地址,避免被钓鱼合约诱导受。

c.确认消息源

如果用户收到领取空投的钓鱼网站链接,首先需要确认信息源,一般可以在官方twitter等社交账号上确认下有没有发布的空投消息。如果没有的话,请不要随意点击其他渠道上发布的空投链接。

标签:NFTWEB3WEBINTCNFT币web3.0币种有哪些web3游戏行业INTO币

BNB热门资讯
区块链:金色观察|Uniswap V3的“漏洞”风云

熊市的盛夏,黑客攻击频出,让已经对价格无感的持币者们还要为安全担心。北京时间7月12日上午9时,币安创始人赵长鹏发布推文:“我们的威胁情报在ETH区块链上检测到UniswapV3存在潜在漏洞.

1900/1/1 0:00:00
COS:多链生态:我们的当前阶段与未来格局

作者:Jiawei,IOSGVentures1、引子 ComposableFinance的创始人提出了跨链互操作性的五个发展阶段:0-20%:实现最基本的跨链通信和链间代币移动;20-50%:用.

1900/1/1 0:00:00
NFT:香港能否借助 Web3 迎来下一个“八达通时刻”

原文标题:《WillNFT,metaversedevelopmentsinHongKonghelpdeliverthecity』snext『Octopusmoment』inapost-pande.

1900/1/1 0:00:00
DEF:晚间必读5篇 | 两年前的DeFi弄潮儿 龙头、蓝筹们怎么样了?

1.金色观察|稳定币未来:成为美元霸权守护者或是去中心化殉道者随着美联储实施紧缩政策,市场流动性正在迅速枯竭。因此,加密货币市场也面临寒冬.

1900/1/1 0:00:00
SDT:金色数藏 | 《嘻哈一夏》售罄 集成至尊版开启

摘要:收集全套《嘻哈一夏》数字藏品,即可选择兑换1份《集成至尊版·嘻哈一夏》。金色财经孵化的数字艺术文化收藏平台金色数藏,首发同道大叔十二星座夏日限定《嘻哈一夏》数字藏品,上线1小时即售罄,后续.

1900/1/1 0:00:00
ROLL:在 Celestia 上 Rollup 是如何被用作主权链的?

大多数使用Celestia作为其共识和数据可用性层的应用程序都将托管在Rollup上。作为一种新的第2层解决方案,最初提出以提高交易吞吐量,Rollup可能是几乎所有区块链应用程序的未来家园,无.

1900/1/1 0:00:00