《三体》里面有个黑暗森林法则,是不能被破坏和更改的规律。
1.生存是文明的第一需要。
2.文明不断的增长和扩张,宇宙物质的总质量不变。
Crypto 的世界如同黑暗森林,作为玩家,你身边可能就藏着危机,OpenSea 合约升级事件,就是个例子,不法分子给平台用户都发了一个钓鱼链接,有的用户警惕性较高,与官方进行了沟通,避免了损失,而一些玩家则没有那么幸运,错把钓鱼邮件当成官方邮件,进行授权,结果使得自己的资产被盗。据不完全统计,此事件导致至少三个无聊猿( BAYC)、37 个 Azuki、25 个 NFT Worlds 等 NFT 被盗,按照地板价计算,黑客收入便已高达 416 万美元。祸不单行,顶级 NFT 项目 BAYC 和 Doodles 的 Discord 社区同时被黑客入侵,导致很多人受害。
让人意外的是周杰伦也在其中,其持有的一枚无聊猿、两枚 Doodles 也被盗。
NFT资产价值的水涨船高,经济溢价惹人眼红,可是有的玩家的认知以及防范意识没有跟上,如何避免损失,COSOSWAP总结了常见的诈骗手段,希望玩家提高警惕,守好自己的资产。
诈骗手段:
Discord作为游戏交流的大本营,随着Crypto的热潮转向了加密爱好者乌托邦,而很多项目方基于自我朋克的属性,也喜欢在其中进行介绍和宣发,这就给不法分子给了可乘之机,其中玩家深受其害的就是Discord 私信链接,Discord 私信链接这是黑客常用的行骗手段,他们冒充官方、社区管理员,一般会以帮忙为借口骗取玩家私钥或者说转账,更有甚者是发送钓鱼链接,告诉玩家可以免费获得NFT。这些骗子都是群发消息,基于概率发生,招摇撞骗。
这一类主要是科学家行径,也是每一个火爆的NFT的宿命,他们会攻击服务器管理员的账号,获得权限之后发布虚假公告,引导用户去其他地方进行交易等,除此以外,他们还会骗取管理员的token,即时有双重验证,也无济于事。对于此类行径,只能用魔法来打败魔法。
3、发送假的交易链接
这里的受众环境较为闭塞,一方面是玩家,一方面是骗子。骗子诱导玩家进行交易,整个NFT环境中注入第三方的Sudoswap、NFTtrader 等对于点对点交易(玩家之间)是鼓励的,这也就为骗子提供了作恶的温床。骗子们会在平台上与受害者交流,步骤通常会走到确认的前一步,这个时候玩家大概率会放松警惕,骗子就会趁机发送假的确认链接,完成盗窃过程。
4、骗取助记词
关于助记词,玩家都不陌生,这一类的手法较为低端,但是经常得手,利用的就是玩家放松警惕。
类似于DeFi中的私人池子,大同小异,热门NFT最容易遇到,那句广告词放到这里不为过“有人模仿我的脸,还有人模仿我的面”,骗子会提前在 OpenSea 等 NFT 交易平台上传名称类似的 NFT 合集,并且提前通过官方释放出的信息,为了数据好看,引人上当,还会自导自演的进行几笔交易。有的玩家一是贪图版税的优惠,反而落入了圈套。
假传圣旨,玩家一般都会在官网绑定邮件,官网在进行升级的空隙,骗子们就会伺机而动,
伪装成 OpenSea 平台的官方账号,以合约地址需要修改或钱包需要重新验证等方式向用户发送钓鱼网站链接。上述所说的OpenSea 合约事件就是基于此。
再认识了常见的诈骗手法后
我们怎么进行防骗?
NFT参与门槛高,我们如何安全的参与?
防骗指南
无论是哪一种方法,最后一步一定是玩家与骗子交互的一步,需要在玩家的钱包上进行动作,也许由于客观因素的存在,很多人不去查看合约,但是我们只要守住一点,看清楚网址,就能避免很多陷阱。
域名分为三个等级,跟前段时间空投大礼包的ENS不同,这里的域名是传统域名,还是基于web2.0生态,我们举例子来看——https://www.opensea.io/
在这里,「.io」是顶级域名,类似于我们常见的「.com」、「.cn」
「opensea」被称为二级域名,是主体,相当于域名的“样子”
「www」部分则为三级域名,可以自行设计
这个时候,有骗子为了迷惑玩家,自行设计了一个域名
https://www.opensea.io.example.com
看似正常,其实不然,他的实际域名是「example.com」而非「opensea.io」。
我们要知道重要的一点就是,域名的层级顺序是反直觉的,我们不能一看到相似,就认定是真实的网址,对于这一点,必须提高警惕。
2、不要泄露私钥或助记词
老生常谈,私钥与助记词无法修改、找回,一旦泄露就意味着这个钱包将同时归属于你与黑客,有的黑客不会在第一时间盗窃你的资产,等到你换入大额资产后,会开始行动,进行盗取,玩家们尽量不要采用复制粘贴的手法去记忆。
3、及时取消钱包授权
及时取消,及时检查
NFT的交易与投资,具备一定的门槛,普通玩家可以选择类似于某安或者COSOSWAP这样的平台,拥有token或者拥有一张平台NFT,进行参与。