170万美元NFT被盗:细节成谜,加密易破在广大用户群中引发深夜恐慌。在大约三个小时内,共有254个代币被盗,Opensea联合创始人兼首席执行官德文芬泽(DevinFinzer)表示该网站目前是健康的,并称“据我们所知,受影响的人都是‘网络钓鱼’的受害者攻击'。”由区块链安全服务PeckShield编制的电子表格统计了攻击期间被盗的254个代币,其中包括来自Decentraland和BoredApeYachtClub的代币。大多数袭击发生在下午5点之间。晚上8点ET,总共针对32个用户。业内消息人士估计,被盗的代币价值超过170万美元。“他们都有有效的签名”此次攻击似乎利用了Wyvern协议的灵活性,Wyvern协议是大多数NFT智能合约(包括OpenSea上的合约)的开源标准。OpenSeaCEO德文芬泽(DevinFinzer)在推特上对这次攻击做了两种解释:首先,目标公司签署了部分合同并获得了一般授权,留下了大部分合同空白。签名就位后,攻击者通过调用他自己的合约来完成合约,该合约无需支付即可转移NFT的所有权。本质上,目标签署了一张空白支票——一旦签署,攻击者就可以填写支票的其余部分并拿走他们的财产。OpenSea首席技术官纳达夫在推特上说,受害者的签名有效“我检查了每一笔交易,”一位名叫内索的用户说。“他们都有丢失的NFT的有效签名,因此任何声称他们丢失NFT而没有被钓鱼的说法都是站不住脚的。”OpenSea在其最新一轮融资中价值130亿美元,已成为这股热潮中最有价值的公司之一,它为用户提供了一个简单的界面来列出、浏览和竞标代币,而无需直接与区块链交互。这一成功带来了重大的安全问题,因为该公司一直在与使用遗留合约或有毒代币窃取用户宝贵财产的攻击作斗争。攻击发生时OpenSea正在更新其合约系统,但OpenSea否认攻击源自新合约。相对较少的目标使得这种漏洞不太可能出现,因为更广泛平台中的任何漏洞都可能被更大规模地利用。尽管如此,攻击的许多细节仍不清楚——尤其是攻击者用来让目标签署半空合同的方法。美国东部时间凌晨3点前不久,DevinFinzer在Twitter上写道,攻击并非来自OpenSea的网站、各种列表系统或公司的任何电子邮件。攻击速度很快,在几个小时内进行了数百笔交易——这表明存在一些常见的攻击媒介,但目前尚未发现任何关联。NFT事故频发“NFT处于ICO(InitialCoinOffering)阶段,任何人都可以聘请艺术家创造一定数量的NFT,然后与加密领域的网红炒作。”区块链公关公司LightNodeMedia的联合合伙人创始人兼首席执行官NelsonMerchanJr.认为。这种炒作让人很难辨别谁是值得信赖的创作者或谁是骗子。现在NFT收藏者和创作者正在使用流行的NFT图片(PFP),并在Twitter上匿名,这使得骗局更难被发现。所以新手并不是唯一容易上当受骗的人。加密货币的自我投资者和收藏者价值暴跌的例子不在少数。常见的NFT骗局在过去的一年里,NFT的总价值飙升至数十亿美元,使其成为加密货币行业的重要组成部分。CoolCats和BoredApeYachtClub等一些顶级收藏品的交易价格已超过30,000美元。随着NFT的蓬勃发展和加密空间中的骗局变得更加复杂,学习如何避免它们很重要。1.钓鱼诈骗和弹窗在购买加密货币之前,您通常需要注册一个基于以太坊区块链的钱包进行交易。MetaMask可能是最受NFT收藏家欢迎的以太坊钱包。然而,MetaMask用户最近成为网络钓鱼诈骗的目标,该诈骗依赖于虚假广告信息并要求用户提供他们的私人钱包密钥。或者通过Discord、Telegram和其他公共论坛弹出恶意虚假广告窗口,链接到MetaMask或其他钱包网站等页面。如果恶意行为者通过网络钓鱼获取买家的私人信息,他们可以转移其数字钱包中的所有加密货币。2.虚假信息NFT的交易过程是虚拟的,所有的营销都是在社交媒体上进行的。因此,用户很容易被“鲶鱼”(在社交媒体上使用虚假身份的骗子)欺骗。许多流行的NFT社区经常聘请有影响力的人和名人进行宣传,因此很难判断骗局是否真实。如果创始人、名人或有影响力的人声称给您发了消息,请不要回复。NFT世界的一个潜规则是,高级加密社区永远不会直接向用户私信,除非你先私信他们,或者你在Twitter或Discord等公共平台上同意某些事情。3.卖骗局在加密货币和NFT领域,卖骗局已经成为一种现象。当一个NFT项目有更多的买家时,流动性就会增加,胜算就会变小。有些人故意购买一堆NFT或加密货币,人为地推高需求。一旦得逞,骗子就会在价格高的时候套现,只把一文不值的资产留给其他买家。一位藏家表示,“如果一个项目中的5000个NFT被20个顶级收藏家控制,而且他们都没有打算出售,那么其他人想要购买藏品就必须付出非常高的价格,以底价购买。”4、竞价诈骗竞价诈骗主要发生在二级市场。购买NFT后,您需要将其转售给出价最高的人。当您公开出售NFT时,投标人可能会在不通知您的情况下转换货币。很可能最初以5ETH的价格出售的NFT最后以5美元的价格出售。因此,请仔细检查您交易的货币,不要接受低于您预期的报价。5.FakeNFTOpenSea新手容易上手,任何人都可以将任何照片或图像变成NFT,即使他们不拥有图像的知识产权。诈骗者可以轻松窃取艺术家的作品、注册假的OpenSea帐户并拍卖假艺术品。将一件艺术品铸造成NFT并不等同于拥有其知识产权(IP)。在购买NFT之前,请进行研究以确保您是从合法帐户购买艺术品。这些正式账户通常会有一个蓝色的验证徽章。6.买家在未经认证的存储站点上购买的NFT可能会消失,因为基于区块链的(NFT)合约与实际艺术品不同。如果你将你的MP3格式的原创??音乐上传到像OpenSea这样的平台上,如果收藏家想要购买它,他们会用以太币支付,所以一个被称为“智能合约”的所有权记录就被创建了。要将艺术品、房屋契约或其他涉及智能合约的内容存储在去中心化平台上,请确保该平台值得信赖。请不要购买仅链接到带有图像的URL的NFT。因为存储在该URL的页面或插图可以在未经您许可的情况下随时更改。有效避免NFT骗局此外,这里还有一些基本的防范骗局操作,可以帮助NFT玩家将投资风险降到最低。1.妥善保管您的私钥。诈骗者会在Discord链接中索取用于铸造NFT的加密货币,然后他们会拿走钱并溜走,所以不要将您的密钥发送给任何人。在Twitter和电子邮件中,诈骗者也会索要密钥。专家建议人们购买冷钱包,例如Ledger和Trezor,它们是可以插入计算机的固态USB,比在线存储更安全。使用冷钱包,无需在浏览器中输入助记词,更好的保护自己。当然,你也可以采用双向认证,设置更复杂的密码。2.关闭Discord私聊专家建议人们应该直接关闭Discord私聊功能。另外,当你需要帮助时,最好的办法是联系NFT交易网站的客服,而不是社区中的任何其他人。如果诈骗者获得管理员权限,他们可以在公告频道发布虚假的铸币链接,称其为天上掉馅饼。例如:“由于大众需求量大,我们将分发一千多个NFT”等等。在大多数情况下,骗子故意利用已售出的藏品进行诈骗。但真正的项目会通过指定渠道公布消息。3.警惕空投骗子,他们可能会向您空投虚假代币。假币通常被空投到他们自己的在线钱包中。令牌以网络链接的形式命名,引诱用户进入钓鱼网站。任何人都可以随时随地向任何用户发送代币,而钱包是被动接收的,就像电子邮件收件箱一样,最好的办法就是忽略它。但假空投也起到了屏蔽作用。如果诈骗者用毫无价值的收藏品制作物品并将其空投到用户的钱包中,用户可以判断这些物品是有价值的。写在最后NFT可以说是印证了一切。NFT在区块链的基础上,在不可篡改、公开、透明、可追溯等方面加入了独特的特性。天然的收藏属性使它首先可以与艺术品挂钩,但它也可以映射房地产、土地、汽车等实物,甚至虚拟资产。但是任何新技术的发展都有一个从粗到精的发展过程。在安全方面,目前NFT存在版权、重复销售、盗窃存储等问题,入局玩家不得不提防。
