Web3黑暗森林指南: 如何保护你的NFT资产

过去一段时间，针对NFT的盗窃事件层出不穷。方式多种多样，虚假链接、空投欺诈NFT、侵入DISCORD发布虚假铸造链接等，许多玩家不小心点击之后，遭遇财产损失。面对频繁出现的局，玩家该如何保护自己的财产安全？针对这个问题，LooksRare、NFT社区SCC以及知名安全团队慢雾，于2022年5月12日晚上举行推特space，来谈谈NFT玩家该如何保护自己的NFT资产。常见的NFT欺诈和盗窃方式都有哪些？

1.钓鱼网站

最常见的是，黑客注册一个和项目方域名很相似的假域名。如：https://opensea.io是真实地址，https://opens?a.io是钓鱼地址。仔细看那个?并不是英文字母e，非常具有迷惑性，这种字母是Punycode的一种编码方式。黑客往往会在一些社区平台上去发布这些域名，可能还会伴随着虚假消息诱导用户访问。在钓鱼网站方面，LooksRare已经联合第三方共处理了124个LooksRare的虚假网站和129个虚假社交账户。除此之外还有一些其他类型的钓鱼攻击场景：●攻击者发布虚假项目并宣传空投活动，在用户使用metamask登录虚假项目网站的时候，攻击者构造了NFT交易签名内容(用于OpenSea挂单撮合)诱用户完成签名才能登录。用户签名之后黑客利用签名的内容用低价将用户的NFT买走。●攻击者冒充用户在discord发布钓鱼图片诱导用户访问钓鱼网站。●攻击者发布伪装成正常软件的木马程序，让用户运行。2.攻击项目方的社区平台

Web3基础设施提供商Parfin获埃森哲战略投资:6月20日消息，埃森哲宣布通过Accenture Ventures对Web3基础设施提供商Parfin进行战略投资，具体投资条款暂未披露。据介绍，Parfin成立于2019年，最初是一家计划开发受监管稳定币的公司，目前已发展成为一家为拉丁美洲金融机构提供数字资产托管、交易、代币化和管理工具的基础设施提供商。Parfin目前正在开发EVM兼容许可公链Parchain，将使受监管实体能够参DeFi和资产代币化。Parfin首席执行官Marcos Viriato表示，公司计划在今年第二季度末或第三季度为Parchain推出代币。

2023年1月消息，Parfin完成1500万美元种子轮融资，Framework Ventures领投，Alexia Ventures、Valor Capital Group和巴西证券交易所的投资基金L4 Venture Builder等参投。[2023/6/20 21:50:27]

例如盗取项目方的社交平台(Discord，instagram等)。Discord的钓鱼手法：1）利用浏览器恶意书签盗取DiscordToken；2）取项目方人员直接在网页版Discord上输入恶意代码，从而盗取DiscordToken。攻击者得到项目方的DiscordToken后，就能登录项目方的Discord账号，然后在项目方Discord服务器发布虚假信息，引导用户在虚假网站上进行交互从而盗取用户的NFT等加密货币资产。3.中间人攻击

香港证监会中介机构部临时主管：会把Web3和虚拟资产的潜力释放出来:金色财经报道，在2023 香港Web3嘉年华上，香港证券及期货事务检监察委员会中介机构部临时主管蔡钟辉（Keith Choy）在发表主旨演讲时表示，会把 Web3、虚拟资产的潜力释放出来。DeFi 有对金融稳定性、数据以及投资者保护的担忧，金融稳定性的担忧主要是杠杆、借贷带来的担忧。今年 6 月份开始，虚拟资产交易平台（VATP）不管提供证券型代币还是非证券型代币，都要由我们来发布许可证，以保护投资者。根据我们已有的针对 VATP 的制度，还需要进行相关的咨询，还会有选择做一些调整和补充，以及建议对散户投资者设置一些额外的准入规则，呼吁市场相关各方与我们积极参与讨论和进行建设性对话。[2023/4/12 13:58:30]

中间人攻击方向有很多种，比如DNS劫持和BGP攻击等。域名劫持又称DNS劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。BGP劫持是指攻击者恶意重新路由互联网流量的情况。攻击者通过不实地宣布实际上没有拥有、控制或路由到的IP地址组的所有权来实现此目的。BGP劫持就好比有人改变一段高速公路上的所有标志，将汽车重新引导到错误的出口。4.代码供应链攻击

支付巨头Stripe推出面向Web3企业的法币到加密货币支付产品onramp:12月2日消息，据官方博客，支付巨头Stripe宣布推出面向Web3企业的法币到加密货币支付产品，该产品是一个可定制的小部件onramp，开发人员可以将其直接嵌入到他们的DEX、NFT平台、钱包或DApp中，Stripe将处理所有KYC、支付、欺诈问题和合规性。

该产品的首批合作伙伴包括Solana生态NFT市场Magic Eden、区块链音乐流媒体平台Audius、钱包提供商Argent、去中心化交易平台Orca、区块链游戏初创公司Fractal和钱包提供商Backpack等。

此前3月份消息，支付巨头Stripe重返加密领域，支持交易所、法币入口、钱包及NFT等业务。[2022/12/2 21:17:58]

代码供应链攻击是一种针对软件开发人员和供应商的攻击方式。攻击者将内置后门的代码上传到公共存储库，其他开发人员如果不注意对代码进行安全审核，就可能将有害代码应用到自己的开发环境，继而在分发自己开发的软件时，将恶意程序传播给更多用户。案例：npm投攻击

MPC自托管服务提供商Safeheorn推出Web3套件:11月18日消息，MPC自托管服务提供商Safeheorn推出Web3套件。该产品基于Safeheron自研MPC和TEE技术，用私钥分片代替单私钥，同时拥有机构级别的安全防护功能，提供资产管理及DeFi、NFT、GameFi、DAO、跨链桥等Web3应用场景的多签治理能力。

据此前报道，Safeheron宣布完成700万美元Pre-A轮融资，Yunqi Partners和Web3Vision联合领投，PrimeBlock Ventures、Cobo Ventures、M77 Ventures、ShataCapital、Kryptos、Antalpha Ventures、Waterdrip Capital、7 O’CLOCK CAPITAL和前红杉资本中国联合创始人张帆参投。[2022/11/18 13:21:37]

攻击者发布恶意的npm包进行投，伪装成官方的开发包，盗取助记词和数字资产。慢雾安全团队在05月03日发布安全提醒，攻击者发布恶意的npm包：pensea-wallet-provider，os-wallet-provider。并在伪装的NFT开源项目中偷偷引入这些恶意的包或开发人员使用恶意的npm包来盗取用户的加密货币私钥或助记词。5.空投假的nft

Web3社交网络DSCVR完成900万美元种子轮融资，Polychain Capital领投:7月25日消息，DFINITY 生态去中心化 Web3 社交网络 DSCVR 完成 900 万美元种子轮融资，本轮融资由 Polychain Capital 领投，Upfront Ventures、Tomahawk VC、Fyrfly Venture Partners、Shima Capital 和 Bertelsmann Digital Media Investments (BDMI) 参投。

DSCVR 首席执行官兼联合创始人 Rick Porter 透露，其平台用户正在呈指数级增长，这笔最新融资将支持其加速路线图、以及其他 Token 和 NFT 生态系统集成，并且推出治理工具帮助 DSCVR 社区成为去中心化自治组织。（Prnewswire）[2022/7/25 2:36:41]

给蓝筹持仓用户空投虚假NFT，这类型的nft完全没有价值，当你点击进去，也是给黑客机会。NFT玩家该如何保护自己的资产安全？

1.黑暗森林法则：一是零信任。简单来说就是保持怀疑，而且是始终保持怀疑。二是持续验证。你要相信，你就必须有能力去验证你怀疑的点，并把这种能力养成习惯。具体的内容可以查看慢雾出品的《区块链黑暗森林自救手册》2.对于交互网站，需要交叉核实验证真实性。对于NFT新项目、土狗项目，建议使用新钱包，不使用主资产钱包。3.重视授权，对于登录网站需要做好验证，对于授权尽可能了解内容。经常使用https://revoke.cash/网站上查看自己是否有可疑的授权历史。4.警惕邮件。一定自己去平台官方网站看，而不是通过邮件点过去。欺诈者可以伪造相似的网站、用户名、头像、email等。5.钱包被盗之后，无论是何种原因被盗，都建议更换新钱包。6.任何时候，都不将助记词和私钥交给别人。7.尽可能学习使用冷钱包。LooksRare作为NFT交易平台采取了哪些安全措施？

LooksRare作为NFT交易平台，在交易端上也采取系列措施，可以使得用户能够更安全地进行交易：1.明文授权LooksRare是第一家采取EIP-712签名的交易平台，EIP-712是在用户签名的时候，可以清楚的看到你签名的内容，而不是一串64位复杂的乱码。之前opensea的挂单签名就是一串乱码，用户完全不知道自己签名内容是什么，也因此让很多黑客有机可趁。OpenSea在LooksrRare之后也使用了EIP-712签名。2.提示是否查看NFT的完整信息NFT的形式有html和javascript这种动图形式，用户在LooksRare查看这些NFT的时候我们会多次询问你是否查看这些NFT的完整内容，需要用户多确认一次。我们希望优先考虑用户安全和隐私。因为这类型的NFT中可能包含跟踪像素和其他具有恶意行为的代码。单击该链接，恶意NFT会自动加载并获取用户的IP、设备信息等。虽然大多数的nft项目方并不会作恶，但不会排除小部分黑客会抓到这个漏洞。

3.提示取消挂单当用户有正在挂单的NFT，但是后来NTF被转走了，官网会有一个非常刺目的感叹号来提醒用户取消当前挂单，因为如果用户忘记挂单之后NFT暴涨，NFT转回来后这个挂单其实还会在的，LooksRare会在前端页面隐藏掉你的挂单，给你时间来取消或者激活挂单。保证其他用户在你重新激活或者取消挂单前无法在前端看到这个挂单。

4.未认证的NFT系列需二次确认LooksRare会根据交易量，持有用户数量来判断是否是真实的系列，未认证的系列也会有二次提醒用户使用正确的合约地址再搜索一次。

标签：NFTENTWEBWEB3WNFT价格Patientorycoinweb币投资机构web3币种

fil币价格今日行情热门资讯