火星链 火星链
Ctrl+D收藏火星链
首页 > MATIC > 正文

STON:NFT 防盗指南:如何保护资产安全?

作者:

时间:1900/1/1 0:00:00

随着NFT用户数、交易量和市值的不断攀升,钓鱼者、黑客等不法分子也开始瞄准这个市场,进一步威胁NFT生态的安全。

区块链安全和数据分析公司PeckShield编写的表格显示,在一次钓鱼攻击中,254个总价值约为170万美元的NFT遭到盗窃;愚人节当天周杰伦的NFT BAYC#3738被盗走,该事件是典型的由钓鱼网站诱导mint从而获得用户NFT操作权的案例;一个名为MoonManNFT的项目,该项目借由free mint的名头,盗走了近400个NFT……

一般来说,黑客会通过Discord和Telegram锁定收藏者,并通过诱导mint、钓鱼攻击等方式盗走用户的NFT资产。随着当下技术发展,NFT投资者和收藏者必须及时了解保护资产的最新方法。

NFT安全存储基本知识

请牢记:

你的NFT并非储存在电脑或移动设备上,而是在IPFS或Arweave这样的去中心化空间。

拥有私钥,就有了对区块链/你的资产的完全访问权限。

Shamir 私钥分割方案能为助记词提供二级保护。

你的NFT储存在哪里?

FLOW链上NFT销售额突破11亿美元,创历史新高:金色财经报道,据最新数据显示,FLOW链上NFT销售额已突破11亿美元,本文撰写时为1,100,427,346美元,交易量为23,123,524笔。目前,FLOW链上交易额最大的NFT项目是NBA Top Shot,交易额为1,029,051,704美元,交易量为21,650,862笔,其次是NFL All Day,交易额为42,212,337美元,交易量为939,911笔。历史数据显示,FLOW链上销售额于3月底首次突破10亿美元,这意味着该指标在过去的5个多月时间仅增加了1亿美元。[2022/9/7 13:13:07]

NFT并非储存在冷钱包、PC端或热钱包中。NFT是位于以太坊区块链上的代币,由全球2400多个运行中的网络节点承载。NFT受到完全去中心化系统的支持,它能确保NFT生态正常运转,也能够验证线上交易。当你进行NFT交易时,实际发生的活动是数据库对该NFT的地址进行更改。

你的图片、动图和音乐在哪里?

NFT的URI(统一资源标识符)标记了图片的位置。NFT一般位于像IPFS或Arweave等去中心化存储空间。在Web2中,也有AWS这样的中心化存储器。

Okaleido Tiger再次登录Binance NFT 1小时售罄:据官方消息,北京时间7月27日19:00 ,1000枚Okaleido Tiger已在Binance NFT平台开启第二轮售卖,并在1h内售罄。Okaleido Tiger目前在Binance NFT上在资产周交易量、热度都稳居前列。

据悉,Okaleido Tiger是多媒体NFT聚合器权益资产,持有将获得包括白名单资格、NFT上架绿色通道、交易手续费分红 以及NFT交易手续费5折等多种权益。[2022/7/27 2:41:23]

钱包

钱包是一个储存私钥的软件,能够支持交易活动。钱包分为两种:热钱包(软件钱包)和冷钱包(硬件钱包)。

热钱包(软件钱包):能够在通用设备上运行的软件,能Web3连接,只需点击鼠标就能接收资产。

冷钱包(硬件钱包):专用于硬件设备,能与Web3连接并接收资产。它与热钱包的主要区别是,冷钱包的助记词从不联网,若要进行交易,必须通过物理手段(比如触摸屏)批准。

选择了合适的钱包后,你需要了解它的功能:

首先,热钱包/冷钱包会要求你创建一个密码,此密码在特定设备上是唯一的。只有知道密码,才能访问钱包。

Steam禁止NFT和加密货币原因:幕后很多“非法”事情,元宇宙已经跑偏:2月28日消息,Steam 创始人 Gabe Newell 接受 PC Gamer 采访时解释了该平台禁止 NFT 和加密货币的原因,他认为幕后发生了很多“非法”的事情,而且对加密货币波动性也提出了质疑,声称“加密货币波动性意味着人们不知道他们实际支付的价格是多少”。

Gabe Newell 还表示,元宇宙被许多人误解了,这些人可能从来都没玩过 MMO 网游。Gabe Newell 解释说:“大多数正在谈论元宇宙的人都跑偏了,他们显然从来没有玩过 MMO(大型多人在线游戏)。他们吹捧'哦,你可以定制头像了。'这就像《最终幻想 14》能进入拉诺西亚一样,这不是十年前就已经解决的问题了吗?好像他们发明了什么厉害东西一样。”

Gabe Newell 认为,游戏行业一直在探索类似的技术,更希望看到后来者进行大量创新,而不是便宜了那些圈钱的人,不过他声称自己并不担心,因为市场会验证哪些是真正对用户有用的技术。[2022/2/28 10:20:21]

你可以自由分享钱包的公共地址,此地址与Web3的电子邮件地址没有区别,知道了你的地址,任何人都能向你发送NFT。这也就催生了新的黑客攻击载体。黑客会向人们发送NFT,当人们与该NFT互动时(比如将其发送至另一钱包,或出售它),黑客就会窃取此人钱包中的资产。请谨记,不要点开陌生NFT!此外,人们也会利用流氓签名或批准来获取你的IP地址。

马斯克发布元宇宙和NFT推文或暗示市场混乱:金色财经报道,特斯拉创始人伊隆·马斯克(Elon Musk)在推特上发布了一张动图,配图文字是“我在元宇宙监狱院子里打架,在那里我花了许多时间截图NFT”。[2022/1/17 8:53:44]

钓鱼邮件也是寻常的方式。邮件的目的是引诱你把钱包连接到虚假网站,以便黑客窃取资产。所以,千万不要点开陌生链接!务必时时检查网站名称。目前黑客攻击的方法比较单一,只能从公共地址和电子邮件下手,只要不理会它们就可以了。

你要保管好私钥,它是访问你的公共地址的密码,私钥的功能有:

将你的NFT移出地址。

签署合同,来证明你拥有该地址的私钥(类似于验证你拥有该公共地址)。

公共地址和私钥最大的区别是,你永远也不能向任何人透露自己的私钥。否则,他们就能把你的私钥导入他们的钱包,窃取你所有的资产。

明确了私钥和公共地址的概念,我们再来看一下助记词。助记词一般由12、18或24个单词构成,用于找回钱包。如果丢失私钥,你可以使用助记词新建一个。与私钥一样,助记词永远不能被第二个人知道,也不能存储在电子存储设备或服务商中(比如google drive、icloud、相簿、手机便签和副本)。最理想的方式是物理存储,比如写在纸上。有人也使用铁制品存储助记词,因为它更加防火。其他方式,例如口令,也能增加钱包安全性。口令是一串符号或单词,将其与助记词结合,就能在原有钱包的基础上创建新钱包。打个比方,若要在原有钱包的基础上创建新的钱包,只需输入:

NFT交易平台OpenSea完成1亿美元B轮融资,a16z领投:7月20日,OpenSea完成1亿美元B轮融资,本轮融资由a16z领投,完成该轮融资后,OpenSea估值达到15亿美元,其他详细融资信息暂未透露。

此前报道,据DuneAnalytics数据统计,OpenSea6月成交额达1.49亿美元,成交量达21万件,均创历史新高,此外,OpenSea总用户数量突破14万,环比增长19%。OpenSea于今年3月宣布完成2300万美元融资,该领融资由a16z领投,参与投资的还有,知名天使投资人NavalRavikant、MarkCuban、TimFerris,以及BelindaJohnson等。(Coindesk)[2021/7/20 1:05:07]

助记词 + “NFTGo”

助记词 + 任意数字

助记词 + 任意字母

助记词 +任意短语

上述任一方式都能创建一个具有不同私钥公共地址的新钱包,但口令这一功能只对冷钱包适用。

添加第二层保护

购买冷钱包是提升安全性的有效途径。Trezor,Ledger和Keystone是几款最受欢迎的硬件钱包,但各自有优势和不足。每种冷钱包都有其特色。比如Keystone使用二维码进行数据传输,避免了木马病通过 USB 接口或者蓝牙被传输到硬件钱包的风险,同时也是首个支持 ENS (Ethereum Name Service) 的硬件钱包,免去了核对原始地址的麻烦。此外,用户可以用 NFT 自定义其4英寸的屏幕。

我们以Keystone为例进行设置。

从官方网站购买Keystone钱包。

安装Keystone套件。

启动Keystone。

设置你钱包的PIN——专属于此设备的口令。

如果是企业使用的话,推荐使用Shamir私钥分割方案,把2组助记词分成3组,或把3组助记词分成5组,你可以把这3组私钥保存在不同地方。如果你有 5 个 Shamir 备份中的 3 个并且丢失了其中 2 个,你仍然可以使用剩余的 3 个备份来恢复您的钱包。

我们以转移一个BAYC为例具体来看 NFT 硬件钱包的使用。在Keystone中,用户可以使用 microSD 卡中上传的 ABI 数据文件快速确认地址的真实性,地址旁边会出现蓝色字体的“Board Ape Yacht club”,还需要确认该交易是否涉及任何恶意行为,以免将您的 NFT 签署给者或黑客。

务必从官网下载Web3 app或钱包

导致加密/NFT黑客攻击的主要原因是用户对非官方网站的访问。绝大多数此类网站是为了行而建立,看上去与官方网站极其相似。不要从Google Play下载Web3 app,它们可能不是从原始渠道获取的。你可以参考以下建议,来鉴别官方网站:

关注网址栏。只点击以https://开头的网址(不要点http://!),“s”代表“安全”,表示该网站的数据是加密传输的,能阻止黑客攻击。

检查域名。黑客最青睐的伎俩就是创建山寨网站,其域名与正版网站十分相似,只有双击才能察觉区别。例如,https://wobble.com这个网站的山寨版可以是https://w0oble.com。请记得时时双击域名的所有字母。

留心拼写错误。多数虚假网站是粗糙赶工而成,拼写、读音、大小写和语法都会出错。

只浏览官方频道、官方推特和官方链接

前面提到,你只能相信官方网站、推特账号和discord。你可以参考下列建议来验证:

检查账户活动。

检查粉丝数。

检查账户历史。

检查评论和参与度。

不要与任何人共享登陆凭证或私钥

有句话在加密圈十分流行:“无钥即无币,币钥为一体”。一旦你的私钥或助记词被分享出去,这个账户就再也不属于你了。最好的做法,是不让其他人拿到私钥。

先验证NFT再购买

在NFT生态系统中,尽职调查总是非常重要。购买或铸造NFT之前,务必要检查项目涉及到的团队的声誉,其社区中的有机互动,以及人们对该项目的看法。

使用多个钱包铸造NFT

比如,Burner钱包是专为NFT铸造创造的二级钱包。这些钱包都是以铸币所需的gas数额来创建并注资。铸币完成后,铸成的NFT被发送到另一个钱包,它的作用是存储NFT。这就减少了主钱包与易被攻击网站互动的风险。你可以创建多个burner钱包,一旦发现漏洞,就立即丢弃它。

谨慎点击陌生账户的链接

黑客的常见术,是通过陌生的Discord账户或冷邮件发送赠品或白名单链接。务必将Telegram、Discord和邮件设置为不接收陌生账户或非官方地址的消息,也请提防用户假扮群主或官方DM你。

检查令牌批准&撤销不使用的令牌

人们每天都与不同的协议和链接互动,基于智能合约上的信息给予其访问权限和许可。时常审查和撤销访问权限十分重要。https://revoke.cash/ 网站可以帮您取消访问权。

进行下一步之前,仔细阅读并核实智能合约的交易条款

确认交易前,务必确保自己认真阅读了智能合约中的每个细节。很多黑客利用智能合约取许可,从而随意访问你钱包中的资金。你要认真阅读,确保合约中的细节不会构成威胁,也不是存在漏洞。

紧跟新闻,了解新漏洞

人们对NFT市场的兴趣日益增加,不法分子也潜伏其中,利用伎俩从收藏者和投资者手中偷取作品和资金,请确保自己的宝贵资产、钱包和资金不落入黑客手中。

标签:NFTSTONSTONEKEYSxNFT价格Stoned ShibaHillstone Financemonkeys币最新价格

MATIC热门资讯
ROL:万字长文探讨:ZK Rollup 价值如何捕获 会产生什么样的创新应用?

ZK Rollup 时代价值又如何捕获,会产生什么样的创新应用?导读:以太坊即将迎来它的 Layer 2 时代,而在所有 L2 扩容技术中 ZK Rollup 是最好的解决方案之一.

1900/1/1 0:00:00
BTC:40000字报告 解读中国NFT行业法律风险

报告前言开门见山,我们团队在NFT法律服务行业一直处于龙头地位,服务头部客户,积累了丰富的实战经验,为反哺行业,避免数字藏品步网贷等昙花一现行业的后尘,特撰写40000字+法律风险研究报告.

1900/1/1 0:00:00
POW:欧易研究院:以太坊2.0方案及进展研究报告

前言:近期,以太坊开发者Marius van der Wijden在社交平台上表示,目前正在以太坊上测试PoS机制,并将进行首次主网影子分叉.

1900/1/1 0:00:00
加密货币:观点:俄乌战争说明了为什么需要加密监管

乌克兰战争表明,加密货币在人道主义危机中具有前所未有的关键作用,还是表明它们完全不可驯服?在俄罗斯开始入侵乌克兰后不久,乌克兰政府在推特上请求以BTC、ETH和USDT的形式获得资助.

1900/1/1 0:00:00
COIN:CoinGecko:NFT“人口普查”中的五组有趣数据结论

2021?年?8?月,NFT 总交易额达到高峰(超过?50?亿美元),开启了“NFT?热夏”。自那以后,市场略有下降,但?NFT?仍然是最热门的词汇之一,并继续成为加密世界内外的头条新闻.

1900/1/1 0:00:00
ION:从阿桑奇 DAO 聊起 万字长文分析 DAO 赛道的进化

DAO赛道的进化:阿桑奇、信徒、云国三大典型DAO分析编者按本文作者?徐徐有声 是深度参与阿桑奇DAO等多个DAO运作的小女生,对DAO赛道理解深入.

1900/1/1 0:00:00