火星链 火星链
Ctrl+D收藏火星链
首页 > Uniswap > 正文

NFT:黑客开始瞄准 NFT 这份 NFT 防盗入门指南请收好

作者:

时间:1900/1/1 0:00:00

原文标题:《NFT 防盗指南:如何保护资产安全?》

随着 NFT 用户数、交易量和市值的不断攀升,钓鱼者、黑客等不法分子也开始瞄准这个市场,进一步威胁 NFT 生态的安全。

区块链安全和数据分析公司 PeckShield 编写的表格显示,在一次钓鱼攻击中,254 个总价值约为 170 万美元的 NFT 遭到盗窃;愚人节当天周杰伦的 NFT BAYC#3738 被盗走,该事件是典型的由钓鱼网站诱导 mint 从而获得用户 NFT 操作权的案例;一个名为 MoonManNFT 的项目,该项目借由 free mint 的名头,盗走了近 400 个 NFT……

一般来说,黑客会通过 Discord 和 Telegram 锁定收藏者,并通过诱导 mint、钓鱼攻击等方式盗走用户的 NFT 资产。随着当下技术发展,NFT 投资者和收藏者必须及时了解保护资产的最新方法。

请牢记:

你的 NFT 并非储存在电脑或移动设备上,而是在 IPFS 或 Arweave 这样的去中心化空间。

拥有私钥,就有了对区块链 / 你的资产的完全访问权限。

Shamir 私钥分割方案能为助记词提供二级保护。

Poly Network攻击黑客在多条链上铸造超340亿美元资产:7月2日消息,据 Beosin Alert 监测,跨链互操作协议 Poly Network 攻击黑客在多条链上铸造了超过 340 亿美元的资产,其中部分被盗资金(约合 80 万美元)被转移至以太坊地址:0xe0Afadad1d93704761c8550F21A53DE3468Ba599。

此前报道,Poly Network 在 2021 年曾遭黑客攻击被盗 6 亿美元。[2023/7/2 22:13:02]

1. 你的 NFT 储存在哪里?

NFT 并非储存在冷钱包、PC 端或热钱包中。NFT 是位于以太坊区块链上的代币,由全球 2400 多个运行中的网络节点承载。NFT 受到完全去中心化系统的支持,它能确保 NFT 生态正常运转,也能够验证线上交易。当你进行 NFT 交易时,实际发生的活动是数据库对该 NFT 的地址进行更改。

2. 你的图片、动图和音乐在哪里?

NFT 的 URI(统一资源标识符)标记了图片的位置。NFT 一般位于像 IPFS 或 Arweave 等去中心化存储空间。在 Web2 中,也有 AWS 这样的中心化存储器。

3. 钱包

数据:DeFi协议2月因黑客攻击损失超2100万美元:金色财经报道,据DefiLlama数据显示,DeFi协议2月因黑客攻击损失超2100万美元,当月最大攻击事件为 Platypus Finance的闪贷重入攻击,导致850万美元的资金损失。[2023/3/6 12:44:41]

钱包是一个储存私钥的软件,能够支持交易活动。钱包分为两种:热钱包(软件钱包)和冷钱包(硬件钱包)。

热钱包(软件钱包):能够在通用设备上运行的软件,能 Web3 连接,只需点击鼠标就能接收资产。

冷钱包(硬件钱包):专用于硬件设备,能与 Web3 连接并接收资产。它与热钱包的主要区别是,冷钱包的助记词从不联网,若要进行交易,必须通过物理手段(比如触摸屏)批准。

选择了合适的钱包后,你需要了解它的功能:

首先,热钱包 / 冷钱包会要求你创建一个密码,此密码在特定设备上是唯一的。只有知道密码,才能访问钱包。

你可以自由分享钱包的公共地址,此地址与 Web3 的电子邮件地址没有区别,知道了你的地址,任何人都能向你发送 NFT。这也就催生了新的黑客攻击载体。黑客会向人们发送 NFT,当人们与该 NFT 互动时(比如将其发送至另一钱包,或出售它),黑客就会窃取此人钱包中的资产。请谨记,不要点开陌生 NFT!此外,人们也会利用流氓签名或批准来获取你的 IP 地址。

Aptos将于6月5日至7日在阿姆斯特丹举行黑客松:2月21日消息,Aptos 宣布将于 2023 年 6 月 5 日至 6 月 7 日在阿姆斯特丹举行 AptosWorldTour 黑客松下一站。此前,Aptos 于本月初在韩国首尔举办 AptosWorldTour 黑客松第一站。[2023/2/21 12:19:52]

钓鱼邮件也是寻常的方式。邮件的目的是引诱你把钱包连接到虚假网站,以便黑客窃取资产。所以,千万不要点开陌生链接!务必时时检查网站名称。目前黑客攻击的方法比较单一,只能从公共地址和电子邮件下手,只要不理会它们就可以了。

你要保管好私钥,它是访问你的公共地址的密码,私钥的功能有:

(1)将你的 NFT 移出地址。

(2)签署合同,来证明你拥有该地址的私钥(类似于验证你拥有该公共地址)。

公共地址和私钥最大的区别是,你永远也不能向任何人透露自己的私钥。否则,他们就能把你的私钥导入他们的钱包,窃取你所有的资产。

明确了私钥和公共地址的概念,我们再来看一下助记词。助记词一般由 12、18 或 24 个单词构成,用于找回钱包。如果丢失私钥,你可以使用助记词新建一个。与私钥一样,助记词永远不能被第二个人知道,也不能存储在电子存储设备或服务商中(比如 google drive、icloud、相簿、手机便签和副本)。最理想的方式是物理存储,比如写在纸上。有人也使用铁制品存储助记词,因为它更加防火。其他方式,例如口令,也能增加钱包安全性。口令是一串符号或单词,将其与助记词结合,就能在原有钱包的基础上创建新钱包。打个比方,若要在原有钱包的基础上创建新的钱包,只需输入:

DeFi借贷协议YEED遭受攻击,黑客获利百万却被永久锁定:4月22日消息,据欧科云链链上天眼监测,近期BSC上刚上线ZEED生态系统的DeFi借贷协议YEED遭受攻击,攻击者获利逾100万美元。

经链上天眼团队追踪分析,此次攻击,黑客将闪电贷借来的资金直接tranfer给YEED-USDT流动性池,触发其分配逻辑,其调用流动性池的skim接口,将池子原有的$YEED一并提取出来。黑客将skim出来的资产接收地址设置为流动性池地址,会自动再次触发transfer逻辑。攻击者用三个流动性池循环操作了300多次,最终将获利的$YEED资产转移到恶意合约,并兑换成USDT。

但较为乌龙的是,在攻击成功后的15秒后,黑客在还未将获利所得提走时便直接调用了合约的自毁函数,导致该笔资金将永远锁定在其攻击合约里。[2022/4/22 14:40:58]

助记词 + 「NFTGo」

助记词 + 任意数字

助记词 + 任意字母

助记词 + 任意短语

上述任一方式都能创建一个具有不同私钥公共地址的新钱包,但口令这一功能只对冷钱包适用。

4. 添加第二层保护

购买冷钱包是提升安全性的有效途径。Trezor,Ledger 和 Keystone 是几款最受欢迎的硬件钱包,但各自有优势和不足。每种冷钱包都有其特色。比如 Keystone 使用二维码进行数据传输,避免了木马病通过 USB 接口或者蓝牙被传输到硬件钱包的风险,同时也是首个支持 ENS (Ethereum Name Service) 的硬件钱包,免去了核对原始地址的麻烦。此外,用户可以用 NFT 自定义其 4 英寸的屏幕。

孙宇晨将向追踪推特黑客者提供100万美元奖金:金色财经报道,今日在大量推特帐户遭到黑客入侵并传播加密货币局后,BitTorrent首席执行官兼波场创始人孙宇晨宣布,将向追踪黑客并提供相关数据的人提供一百万美元奖金。孙宇晨表示:“我们正在与推特紧密沟通,以立即解决此问题并使我们的帐户恢复正常。我们始终会谨慎处理我们的帐户,安全且负责任地进行操作,将我们的帐户安全性提高到最高标准。这只进一步说明了社会迫切需要采用去中心化的、无需信任的软件和服务。”[2020/7/16]

我们以 Keystone 为例进行设置。

(1)从官方网站购买 Keystone 钱包。

(2)安装 Keystone 套件。

(3)启动 Keystone。

(4)设置你钱包的 PIN—— 专属于此设备的口令。

(5)如果是企业使用的话,推荐使用 Shamir 私钥分割方案,把 2 组助记词分成 3 组,或把 3 组助记词分成 5 组,你可以把这 3 组私钥保存在不同地方。如果你有 5 个 Shamir 备份中的 3 个并且丢失了其中 2 个,你仍然可以使用剩余的 3 个备份来恢复您的钱包。

我们以转移一个 BAYC 为例具体来看 NFT 硬件钱包的使用。在 Keystone 中,用户可以使用 microSD 卡中上传的 ABI 数据文件快速确认地址的真实性,地址旁边会出现蓝色字体的「Board Ape Yacht club」,还需要确认该交易是否涉及任何恶意行为,以免将您的 NFT 签署给者或黑客。

1. 务必从官网下载 Web3 app 或钱包

导致加密 / NFT 黑客攻击的主要原因是用户对非官方网站的访问。绝大多数此类网站是为了行而建立,看上去与官方网站极其相似。不要从 Google Play 下载 Web3 app,它们可能不是从原始渠道获取的。你可以参考以下建议,来鉴别官方网站:

(1)关注网址栏。只点击以 https:// 开头的网址(不要点 http://!),「s」代表「安全」,表示该网站的数据是加密传输的,能阻止黑客攻击。

(2)检查域名。黑客最青睐的伎俩就是创建山寨网站,其域名与正版网站十分相似,只有双击才能察觉区别。例如,https://wobble.com 这个网站的山寨版可以是 https://w0oble.com。请记得时时双击域名的所有字母。

(3)留心拼写错误。多数虚假网站是粗糙赶工而成,拼写、读音、大小写和语法都会出错。

2. 只浏览官方频道、官方推特和官方链接

前面提到,你只能相信官方网站、推特账号和 discord。你可以参考下列建议来验证:

(1)检查账户活动。

(2)检查粉丝数。

(3)检查账户历史。

(4)检查评论和参与度。

3. 不要与任何人共享登陆凭证或私钥

有句话在加密圈十分流行:「无钥即无币,币钥为一体」。一旦你的私钥或助记词被分享出去,这个账户就再也不属于你了。最好的做法,是不让其他人拿到私钥。

4. 先验证 NFT 再购买

在 NFT 生态系统中,尽职调查总是非常重要。购买或铸造 NFT 之前,务必要检查项目涉及到的团队的声誉,其社区中的有机互动,以及人们对该项目的看法。

5. 使用多个钱包铸造 NFT

比如,Burner 钱包是专为 NFT 铸造创造的二级钱包。这些钱包都是以铸币所需的 gas 数额来创建并注资。铸币完成后,铸成的 NFT 被发送到另一个钱包,它的作用是存储 NFT。这就减少了主钱包与易被攻击网站互动的风险。你可以创建多个 burner 钱包,一旦发现漏洞,就立即丢弃它。

6. 谨慎点击陌生账户的链接

黑客的常见术,是通过陌生的 Discord 账户或冷邮件发送赠品或白名单链接。务必将 Telegram、Discord 和邮件设置为不接收陌生账户或非官方地址的消息,也请提防用户假扮群主或官方 DM 你。

7. 检查令牌批准 & 撤销不使用的令牌

人们每天都与不同的协议和链接互动,基于智能合约上的信息给予其访问权限和许可。时常审查和撤销访问权限十分重要。https://revoke.cash/ 网站可以帮您取消访问权。

8. 进行下一步之前,仔细阅读并核实智能合约的交易条款

确认交易前,务必确保自己认真阅读了智能合约中的每个细节。很多黑客利用智能合约取许可,从而随意访问你钱包中的资金。你要认真阅读,确保合约中的细节不会构成威胁,也不是存在漏洞。

9. 紧跟新闻,了解新漏洞

人们对 NFT 市场的兴趣日益增加,不法分子也潜伏其中,利用伎俩从收藏者和投资者手中偷取作品和资金,请确保自己的宝贵资产、钱包和资金不落入黑客手中。

标签:NFTYSTKEYSTONNFT SolPadCRYSTALmonkeys币合约地址MEETONE

Uniswap热门资讯
TER:金色早报 | Terra区块链已正式停止以预防治理攻击 验证者会在几分钟内协调以重启网络

头条▌Terra区块链已正式停止以预防治理攻击,验证者会在几分钟内协调以重启网络金色财经消息,Terra官方发推称,Terra 区块链已经在区块高度 7603700 处暂停.

1900/1/1 0:00:00
DAOfi:DAO:实现“上班自由”的新可能

在上一篇介绍国内NFT市场的文章中,三林提到基于区块链发展而诞生的全新组织方式——DAO。区块链作为底层技术开始被广泛运用,新的组织架构需求随之产生,DAO就是这样一个新事物.

1900/1/1 0:00:00
稳定币:金色早报 | 高盛:正在探索实物资产的代币化

头条▌高盛:正在探索实物资产的代币化金色财经报道,高盛表示,随着投资银行深入加密货币领域,它正在研究NFT,尤其是“实物资产的代币化”.

1900/1/1 0:00:00
NFT:都说一寸光阴一寸金 那时间NFT面对的是机遇还是挑战?

2月25日,Aave实验部门Newt推出了首个时间Token化项目Aika。使用Aika可将时间作为NFT在Polygon上铸造和出售,以此记录事件和在区块链上的工作情况.

1900/1/1 0:00:00
区块链:游戏巨头们沉迷“NFT割韭菜” 工程师们看不下去了

游戏巨头们和它们的工程师们在应用NFT方面产生了难以弥合的分歧。去年的NFT交易狂欢,让游戏行业看到了巨大机遇.

1900/1/1 0:00:00
QUO:详解社交代币模型:地球上的每个人都会有股东 有市值 甚至可能有一个董事会

来源公号:老雅痞详解社交代币的承诺和风险。可操作的见解:如果你只有几分钟的时间,以下是投资者、运营者和创始人应该知道的关于社交代币的内容:术语 "社交代币 "可能并不意味着你.

1900/1/1 0:00:00