作者:?NFTGo
随着NFT用户数、交易量和市值的不断攀升,钓鱼者、黑客等不法分子也开始瞄准这个市场,进一步威胁NFT生态的安全。
区块链安全和数据分析公司PeckShield编写的表格显示,在一次钓鱼攻击中,254个总价值约为170万美元的NFT遭到盗窃;愚人节当天周杰伦的NFTBAYC#3738被盗走,该事件是典型的由钓鱼网站诱导mint从而获得用户NFT操作权的案例;一个名为MoonManNFT的项目,该项目借由freemint的名头,盗走了近400个NFT……
一般来说,黑客会通过Discord和Telegram锁定收藏者,并通过诱导mint、钓鱼攻击等方式盗走用户的NFT资产。随着当下技术发展,NFT投资者和收藏者必须及时了解保护资产的最新方法。
NFT安全存储基本知识
请牢记:
你的NFT并非储存在电脑或移动设备上,而是在IPFS或Arweave这样的去中心化空间。
拥有私钥,就有了对区块链/你的资产的完全访问权限。
Shamir私钥分割方案能为助记词提供二级保护。
Aptos Labs联合创始人:NFT将突破上一代区块链的界限:金色财经报道,Layer 1区块链Aptos Labs联合创始人Mohammad Shaikh在采访中表示,NFT有可能不仅仅是收藏品。我的看法是,NFT正在突破我们在上一代区块链中所见的界限,过去你无法真正将NFT带入不同的协议和平台,NFT让持有者能够证明对数字项目的所有权,它应该有机会在游戏和社交平台中生存。
Shaikh还表示,突破NFT用例的界限还可以连接世界各地的社区。到2023年,他预计NFT将通过大品牌和作为一种支付方式进入主流。[2023/1/28 11:33:07]
1.你的NFT储存在哪里?
NFT并非储存在冷钱包、PC端或热钱包中。NFT是位于以太坊区块链上的代币,由全球2400多个运行中的网络节点承载。NFT受到完全去中心化系统的支持,它能确保NFT生态正常运转,也能够验证线上交易。当你进行NFT交易时,实际发生的活动是数据库对该NFT的地址进行更改。
2.你的图片、动图和音乐在哪里?
NFT的URI标记了图片的位置。NFT一般位于像IPFS或Arweave等去中心化存储空间。在Web2中,也有AWS这样的中心化存储器。
Andre Cronje提出附属于NFT的ERC-20标准游戏资产gold:9月7日消息,继提出Fantom公链上的类Loot项目Rarity,为其中的游戏角色Summoner增加6种属性后,Andre Cronje于昨日提出附属于Summoner的ERC-20标准的游戏资产gold。Summoner从第2级开始可以获得gold,每升一级都可以获得gold,gold不被任何地址持有,而是为Summoner这种NFT所有,Summoner之间可以交易gold。[2021/9/7 23:05:36]
3.钱包
钱包是一个储存私钥的软件,能够支持交易活动。钱包分为两种:热钱包和冷钱包。
热钱包:能够在通用设备上运行的软件,能Web3连接,只需点击鼠标就能接收资产。
冷钱包:专用于硬件设备,能与Web3连接并接收资产。它与热钱包的主要区别是,冷钱包的助记词从不联网,若要进行交易,必须通过物理手段批准。
选择了合适的钱包后,你需要了解它的功能:
首先,热钱包/冷钱包会要求你创建一个密码,此密码在特定设备上是唯一的。只有知道密码,才能访问钱包。
财新“搬矿机妇女”图片引发热议,相关NFT在Opensea最高售价达2021枚ETH:7月12日,财新发文《显影|中国告别比特币“挖矿”》,该文通过数张摄影图片记录了四川比特币矿场关闭清场的场面。其中,一张图片记录了一位藏族妇女正在搬运矿机。该图由于记录了四川比特币矿场关闭这里历史性一刻,并形似知名油画《拾稻穗者》,因而迅速在加密资产圈走火,并被命名为“搬矿机的夏日多拉”。目前,该图片还被二次创作后以NFT形式上传至Opensea,售价大致在几枚至十几枚ETH不等。其中最高售价有2021个ETH。有从业者指出,Opensea暂无法解决此类盗版艺术品问题,这或是其一大问题。
注:该图片的版权归财新传媒有限公司所有,任何人不得将此图片用于商业用途。[2021/7/13 0:48:11]
你可以自由分享钱包的公共地址,此地址与Web3的电子邮件地址没有区别,知道了你的地址,任何人都能向你发送NFT。这也就催生了新的黑客攻击载体。黑客会向人们发送NFT,当人们与该NFT互动时,黑客就会窃取此人钱包中的资产。请谨记,不要点开陌生NFT!此外,人们也会利用流氓签名或批准来获取你的IP地址。
NFT商业平台Uptick Network宣布完成首轮融资:据官方消息,NFT商业平台Uptick Network即日宣布完成首轮融资, 由Dragon Roark Venture领投,Dragon Roark是硅谷基金Draper Dragon的 Partners Fund。参与此轮投资的机构投资者还有Tendermint Venture,IRIS Foundation, PreAngel Fund等,以及若干行业人士。Draper Dragon合伙人Richard Wang表示,Uptick是全球少数在首轮融资前已经正式有商业级产品发布的项目,对收藏型和功能型NFT有全面布局,相信Uptick团队丰富的行业经验、国际化的视野、以及踏实务实作风会把Uptick打造成为一流项目。
作为整个Uptick Network的一个组成部分,Uptick NFT手机原生App已经于3月12日正式上线,首期提供了数字收藏卡以及电子票务两个典型NFT场景,掌中一站式提供NFT的发布、卡包钱包、一手交易、二手交易、验证及核销、收藏及展示、社交等能力。[2021/5/28 22:52:32]
钓鱼邮件也是寻常的方式。邮件的目的是引诱你把钱包连接到虚假网站,以便黑客窃取资产。所以,千万不要点开陌生链接!务必时时检查网站名称。目前黑客攻击的方法比较单一,只能从公共地址和电子邮件下手,只要不理会它们就可以了。
APENFT基金会即将对持有BTC、ETH、TUSD、TRX、BTT、JST用户进行APENFT(NFT)代币空投:据最新消息,APENFT基金会将于2021年6月10日 12:00 (UTC)快照后对波场TRON生态持有TRC20-BTC、TRC20-ETH、TRC20-TUSD、TRX、BTT、JST的用户进行首次APENFT(NFT)代币空投。空投比例为总发行量5%的APENFT(NFT)。届时,用户无需进行任何操作,无论冻结与非冻结地址皆可获得空投奖励。针对交易所持币用户,用户所持Token交易所必须支持APENFT(NFT)空投,则用户所在交易所有资格获得相应NFT奖励。空投方案详情可通过官方渠道查询。
APENFT是以全球知名公链以太坊Ethereum及波场TRON底层技术为支持,分布式数据存储系统BitTorrent File System,将全球顶级艺术品NFT化与区块链化的基金会。APENFT基金会于2021年3月29日在新加坡正式注册成立。而NFT作为APENFT基金会官方发行的唯一通证,是基于ERC-20/TRC-20协议开发的去中心化数字资产,也是APENFT基金会的权益证明;NFT持有者将拥有投票、分润、参与等权益。NFT发行总量恒定量999,990,000,000,000枚。[2021/5/18 22:16:02]
你要保管好私钥,它是访问你的公共地址的密码,私钥的功能有:
将你的NFT移出地址。
签署合同,来证明你拥有该地址的私钥。
公共地址和私钥最大的区别是,你永远也不能向任何人透露自己的私钥。否则,他们就能把你的私钥导入他们的钱包,窃取你所有的资产。
明确了私钥和公共地址的概念,我们再来看一下助记词。助记词一般由12、18或24个单词构成,用于找回钱包。如果丢失私钥,你可以使用助记词新建一个。与私钥一样,助记词永远不能被第二个人知道,也不能存储在电子存储设备或服务商中。最理想的方式是物理存储,比如写在纸上。有人也使用铁制品存储助记词,因为它更加防火。其他方式,例如口令,也能增加钱包安全性。口令是一串符号或单词,将其与助记词结合,就能在原有钱包的基础上创建新钱包。打个比方,若要在原有钱包的基础上创建新的钱包,只需输入:
助记词+“NFTGo”
助记词+任意数字
助记词+任意字母
助记词+任意短语
上述任一方式都能创建一个具有不同私钥公共地址的新钱包,但口令这一功能只对冷钱包适用。
4.添加第二层保护
购买冷钱包是提升安全性的有效途径。Trezor,Ledger和Keystone是几款最受欢迎的硬件钱包,但各自有优势和不足。每种冷钱包都有其特色。比如Keystone使用二维码进行数据传输,避免了木马病通过USB接口或者蓝牙被传输到硬件钱包的风险,同时也是首个支持ENS(EthereumNameService)的硬件钱包,免去了核对原始地址的麻烦。此外,用户可以用NFT自定义其4英寸的屏幕。
我们以Keystone为例进行设置。
从官方网站购买Keystone钱包。
安装Keystone套件。
启动Keystone。
设置你钱包的PIN——专属于此设备的口令。
如果是企业使用的话,推荐使用Shamir私钥分割方案,把2组助记词分成3组,或把3组助记词分成5组,你可以把这3组私钥保存在不同地方。如果你有5个Shamir备份中的3个并且丢失了其中2个,你仍然可以使用剩余的3个备份来恢复您的钱包。
我们以转移一个BAYC为例具体来看NFT硬件钱包的使用。在Keystone中,用户可以使用microSD卡中上传的ABI数据文件快速确认地址的真实性,地址旁边会出现蓝色字体的“BoardApeYachtclub”,还需要确认该交易是否涉及任何恶意行为,以免将您的NFT签署给者或黑客。
避免NFT的方法
1.务必从官网下载Web3app或钱包
导致加密/NFT黑客攻击的主要原因是用户对非官方网站的访问。绝大多数此类网站是为了行而建立,看上去与官方网站极其相似。不要从GooglePlay下载Web3app,它们可能不是从原始渠道获取的。你可以参考以下建议,来鉴别官方网站:
关注网址栏。只点击以https://开头的网址,“s”代表“安全”,表示该网站的数据是加密传输的,能阻止黑客攻击。
检查域名。黑客最青睐的伎俩就是创建山寨网站,其域名与正版网站十分相似,只有双击才能察觉区别。例如,https://wobble.com这个网站的山寨版可以是https://w0oble.com。请记得时时双击域名的所有字母。
留心拼写错误。多数虚假网站是粗糙赶工而成,拼写、读音、大小写和语法都会出错。
2.只浏览官方频道、官方推特和官方链接
前面提到,你只能相信官方网站、推特账号和discord。你可以参考下列建议来验证:
检查账户活动。
检查粉丝数。
检查账户历史。
检查评论和参与度。
3.不要与任何人共享登陆凭证或私钥
有句话在加密圈十分流行:“无钥即无币,币钥为一体”。一旦你的私钥或助记词被分享出去,这个账户就再也不属于你了。最好的做法,是不让其他人拿到私钥。
4.先验证NFT再购买
在NFT生态系统中,尽职调查总是非常重要。购买或铸造NFT之前,务必要检查项目涉及到的团队的声誉,其社区中的有机互动,以及人们对该项目的看法。
5.使用多个钱包铸造NFT
比如,Burner钱包是专为NFT铸造创造的二级钱包。这些钱包都是以铸币所需的gas数额来创建并注资。铸币完成后,铸成的NFT被发送到另一个钱包,它的作用是存储NFT。这就减少了主钱包与易被攻击网站互动的风险。你可以创建多个burner钱包,一旦发现漏洞,就立即丢弃它。
6.谨慎点击陌生账户的链接
黑客的常见术,是通过陌生的Discord账户或冷邮件发送赠品或白名单链接。务必将Telegram、Discord和邮件设置为不接收陌生账户或非官方地址的消息,也请提防用户假扮群主或官方DM你。
7.检查令牌批准&撤销不使用的令牌
人们每天都与不同的协议和链接互动,基于智能合约上的信息给予其访问权限和许可。时常审查和撤销访问权限十分重要。https://revoke.cash/?网站可以帮您取消访问权。
8.进行下一步之前,仔细阅读并核实智能合约的交易条款
确认交易前,务必确保自己认真阅读了智能合约中的每个细节。很多黑客利用智能合约取许可,从而随意访问你钱包中的资金。你要认真阅读,确保合约中的细节不会构成威胁,也不是存在漏洞。
9.紧跟新闻,了解新漏洞
结语
人们对NFT市场的兴趣日益增加,不法分子也潜伏其中,利用伎俩从收藏者和投资者手中偷取作品和资金,请确保自己的宝贵资产、钱包和资金不落入黑客手中。
作者:洒脱喜,DeFi之道比特币自从去年11月份激活Taproot升级之后,似乎很少有新技术方案的声音,而纵观整个DeFI领域,闪电网络的TVL规模在一众协议当中也显得毫不起眼.
1900/1/1 0:00:00链捕手消息,5月11日,LighthouseLabs宣布完成700万美元种子轮融资,本轮融资由AnimocaBrands、BlockTower、Accel领投.
1900/1/1 0:00:00作者:Azuma,ODAILY星球日报今日凌晨,“万众瞩目”的Optimism正式开放了其原生代币OP的空投申领.
1900/1/1 0:00:00作者:msfew,ForesightVentures这篇文章着眼于以太坊的Layer2Rollup宇宙(仅包括Securedrollup),会从简单易懂的核心概念与机制设计出发.
1900/1/1 0:00:00整理:Hsilung,链捕手“过去24小时都发生了哪些重要事件”?1、Anchor协议在Terra新链启动后被利用预言机价格漏洞,损失约80万美元据U.Today报道,在Terra新链启动后.
1900/1/1 0:00:00原标题:《Thefts,FraudandLawsuitsattheWorld’sBiggestNFTMarketplace》原作者:DavidYaffe-Bellany,纽约时报编译:饼干.
1900/1/1 0:00:00