NFT:Web3安全连载（3）：深入揭秘NFT钓鱼流程及防范技巧

点击阅读：Web3安全连载（1）当硬核黑客开始研究“钓鱼” 你的NFT还安全吗？

点击阅读：Web3安全连载（2）一文看懂典型的NFT合约漏洞有哪些？

我们推出连载系列的最后一篇——NFT钓鱼流程及防范技巧，其中一类是盗取用户签名的钓鱼攻击，另一类是高仿域名和内容的NFT钓鱼网站。那么如果用户不幸中招了怎么办呢？今天我们就来告诉你怎么办。

「钓鱼网站是如何“钓”你的？」

第一种：盗取用户签名 

在前两篇文章里，我们提到过该类钓鱼网站主要是引诱用户在钓鱼网站签名，如果用户签署了签名，则钓鱼网站可以获取到用户钱包中所有的NFT。具体的签名内容如下：

上图中红框一显示的是签名请求的网站来源，红框二显示的是请求的签名内容，由于显示的内容是一串二进制字符，所以用户其实不知道具体签署的是什么服务。

如果用户点击了“Sign”按钮，则可能会授权一些无法预测的服务，包括一些危险操作，如：授权钓鱼网站拥有用户钱包中NFT的转账权限等。

第二种：高仿域名和内容的NFT钓鱼网站 

Ava Labs增长与战略副总裁Garrison Yang确认出席ChinaJoy Web3大会2023:据官方消息，Ava Labs增长与战略副总裁Garrison Yang已确认出席首届ChinaJoy Web3大会。作为全球最具知名度与影响力的数字娱乐年度盛会之一，第二十届ChinaJoy将于2023年7月28日至7月31日在上海新国际博览中心举办。今年ChinaJoy活动期间，将于 7 月 29 日在上海浦东嘉里酒店召开首届ChinaJoy Web3大会，会议聚焦探索新环境下的 Web3 技术高质量发展之路，并探讨和展示 Web3 技术赋能数字经济行业的创新成果。

本届ChinaJoy Web3大会由汉威信恒、新火科技与D11 Labs联合主办，中国音像与数字出版协会作为指导单位，亚马逊云科技（AWS）、Ava Labs等全球战略合作伙伴共建参与，大会以“创变数字经济新时代”为主题。[2023/7/11 10:48:15]

前面的的文章里我们提到过该类钓鱼网站主要分为三类，第一类是仅更换原官网的顶级域名，第二类是主域名添加单词或符号进行混淆，第三类是添加二级域名进行混淆的钓鱼网站。

涉及到的钓鱼手法主要分为三种，第一种是伪造NFT项目官网诱用户直接进行转账的钓鱼网站，第二种是使用假空投诱用户授权的钓鱼网站，第三种是诱用户输入钱包助记词的钓鱼网站。下面将对其钓鱼手法进行详细介绍。

Unstoppable Domains承诺在Web3域名联盟中签署“专利互不侵犯条约”:金色财经报道，Unstoppable Domains承诺在Web3域名联盟中签署“专利互不侵犯条约（patent nonaggression pact）”， 该联盟由数十家提供命名服务的公司组成，Unstoppable Domains称不会对Web3域联盟的行业组织的其他成员强制执行一项名为“解析区块链域”的关键专利。在宣布专利承诺的同时，Unstoppable Domains还透露另有52个项目已加入了Web3域名联盟，包括加密货币交易所Blockchain.com和NFT市场Rarible，不过目前以太坊域名服务Ethereum Name Service（ENS）暂未加入，ENS首席开发人员对其竞争对手决定在开放源代码和域名知识产权的决定表示持保留意见。[2023/2/23 12:24:13]

1.伪造官网引诱用户直接转账

该类钓鱼网站主要是通过伪造NFT项目官网UI界面，诱用户连接钱包之后，点击“mint”按钮进行铸币。用户点击之后会向虚假的项目方地址转账，但是并不会收到对应的NFT。具体如下图所示：

福冈市与Astar Japan Labs建立合作伙伴关系，将致力于Web3发展:10月24日消息，福冈市与Astar network的背后公司Astar Japan Labs建立最新合作伙伴关系。据悉，该合作关系将允许两个实体在Web3技术的新用例上合作。目前，福冈市加入了与Astar合作的超过45家公司，包括微软日本和亚马逊日本。

根据公告，福冈市希望吸引全球有竞争力的企业到该地区，Astar的代表也将定期访问该市，与当地政府合作，在当地和全国范围内提供教育和新用例。（cointelegraph）[2022/10/25 16:37:29]

用户进入到钓鱼网站后，会首先点击对应的“connect wallet”按钮，连接钱包。之后UI界面会进行刷新，出现如图所示的“mint”按钮。通常页面上还会出现类似“xx用户已经mint了xxNFT”这样的浮动标题，主要是为了刺激用户赶紧点击mint。如下图所示：

用户如果点击“Mint”按钮之后，一般情况下钓鱼网站为了防止自己的转账黑地址泄露，会首先检测钱包余额是否为空。如果为空则不会进行交易，如果不为空才会弹出类似MetaMask的小狐狸钱包，进行交易。

Web3社交媒体引擎Sagaverse完成150万美元新一轮融资:金色财经报道，Web3社交媒体引擎Sagaverse宣布完成150万美元新一轮融资，Promentum、以及Unity3D 的 David Helgason 和红杉资本合伙人 Bogomil Balkansky等深度技术、Web 3.0、互动媒体领域的天使投资人参投。Sagaverse是一个由 DApp 提供支持的社区项目，可以将创作者和粉丝联合起来，使他们能够和粉丝共同创作内容、共同分发交互式和增强视频并利用代币化手段获得激励。Sagaverse协议可用于组合、分发和重组支持代币化的社交媒体内容，同时保留内容属性和许可信息。（dailyhodl）[2022/9/21 7:10:19]

2.假空投诱用户进行NFT授权

该类钓鱼网站主要是利用假空投等手段，诱用户访问钓鱼网站。在用户连接钱包后，就会出现“CLAIM NOW”等引诱用户进行点击的按钮，用户点击之后就会对钓鱼网站的黑地址进行授权。具体如下图所示：

Penguin发布Web 3.0去中心化数据网络:12月31日消息，去中心化存储网络Penguin最近发布Web 3.0通用去中心化数据网络。

Penguin是专为Web3.0设计的节点对等网络，联合提供去中心化存储和通信服务。通过为Web3.0提供一个通用的去中心化数据网络，平台可以为区块链行业的不同区域发挥多种作用。此外，Penguin旨在与区块链行业合作，创建在Web3.0中无缝访问的DApp、产品和服务。（Globenewswire）[2021/12/31 8:17:04]

之后获得授权的钓鱼网站会将用户钱包中的NFT全部转走，具体如下图所示：

下面是受害者被盗取的NFT交易：

3.诱用户填写助记词

该类钓鱼网站主要是在网页连接钱包处，或者其他位置诱用户点击，之后弹出一个伪造的网页，提示用户诸如“MetaMask插件版本需要升级”等信息。如果用户相信并填写了自己的钱包助记词，那么用户的私钥就会上传到攻击者服务器导致用户钱包被盗。具体如下图所示：

该钓鱼网站弹出如下信息，提示用户检测到了MetaMask的一个安全问题，需要用户升级该钱包插件版本。如果用户在框中输入助记词，则会导致钱包被盗。

「必须学会的防范技巧」

一：防范签名被盗 

目前多数网站为了保护用户安全已经不支持盲签的签名方式，但是如果用户访问某些网站时仍然遇到盲签的情况，请尽量拒绝签署。本文主要讨论以下两种非盲签的情况下，用户如何防范钓鱼。

1.用户签署交易时需要确认签署的内容

如上图所示，用户签署授权时主要是对红框部分的服务条款进行签名，包括：提示用户如果点击“Sign”按钮则代表接受网站的服务条款，这个请求不会发起交易或者消耗gas费，并且该授权状态将在24小时后重置等。以及包括签署签名的用户地址、Nonce值等。

2.用户在进行交易签名前，应进行多方信息交叉验证，确保发起交易的网站是真官网。

二：防范高仿域名和内容的NFT钓鱼网站 

此前文章我们介绍了三种高仿域名和内容的NFT钓鱼网站，其中第三种是直接诱用户输入助记词。针对该类网站，用户只需记住任何要求输入助记词的网页都是不安全的即可。本文主要介绍其他两种钓鱼网站的相关防范措施：

1. 伪造官网引诱用户直接转账

这类的钓鱼网站通常域名和内容都跟原项目官网十分相似，用户在访问时需特别注意识别官网。

1）一般在访问NFT官网时，首页通常有官方社交媒体账号，如：twitter、discord等。

目前很多NFT官方网站都不会直接提供“mint”功能，或将更多数量的NFT放到了诸如Opensea之类的交易所上进行售卖，如下图所示：

同时，一般在NFT项目官网底部都会列举出官网社交账号，下图红框处从左往右依次是：Discord、twitter、traitsniper、opensea。

用户可以访问这些社交账号，首先识别其账号是否是官方账号，通常直接在twitter上搜索项目名称可以发现官方账号，如果存在同名的情况那么注意筛选出关注人数较多的账号，具体如下图所示：

上图中显示的第一个红框就是NFT项目对应的官网，任何其他的网址都是钓鱼网站；第二个红框是该项目在其他平台上的官方链接，如：Opensea交易所等；第三个红框是关注的人数，从人数上也可以对官方账号进行筛选，当然也需要警惕钓鱼大号，最好是进行信息交叉验证，保证自己访问的是官网。

2）假空投诱用户进行NFT授权

攻击者通常会通过Discord等社交账号发布假空投的钓鱼链接，这一类的钓鱼网站往往难以识别真假，本文提出以下几点建议希望帮助用户减少损失。

a. 资产隔离

在进行这类危险交易时，可以采用资产隔离的方式进行，通常包括以下几种类型：

钱包隔离：用户可以将钱包根据用途分为两类，第一类用于存储资产，包括一些大额资产等，该类资产可以使用冷钱包存储提高安全性；第二类用于资产交易，尤其是在进行诸如领取空投这样的危险交易时，可以使用一些临时钱包。临时性的钱包包括：使用MetaMask之类的钱包重新创建一个地址里面存储很少的钱；或一些网络钱包如：Burner Wallet等，该钱包可以通过在网页上简单地设置转账的参数，如：转账地址、金额等，就可以生成一个临时性的小额交易二维码，如下图所示：

交易媒介隔离：通常指的是用户在交易时使用的PC、浏览器等，可以在进行一些可能存在的危险交易时使用不同的PC，或者使用不同的浏览器。

b. 使用项目方智能合约进行mint()

上文提到有很多局在推广免费空投领取时，“mint”按钮实际上触发的是请求用户签名的操作，一旦点击将会批准钓鱼网站转移用户的NFT。所以如果能够确定领取空投的合约地址，直接调用智能合约里的mint()方法是更安全的方式，下图是某NFT的合约：

如上图所示，首先点击“contract”，之后选择“Write Contract”页签，接下来需要点击“Connect to Web3”按钮，连接钱包。如下图所示：

接着点击mint()方法，设置mint需要的NFT数量和金额，点击“Write”按钮即可。这种方式因为是直接调用的合约方法，所以不存在被钓鱼网站盗用签名的情况。但是，用户在调用NFT合约时需注意同样需要交叉验证项目合约的地址，避免被钓鱼合约诱导受。

c. 确认消息源

如果用户收到领取空投的钓鱼网站链接，首先需要确认信息源，一般可以在官方twitter等社交账号上确认下有没有发布的空投消息。如果没有的话，请不要随意点击其他渠道上发布的空投链接。

标签：NFTWEBWEB3INTUWU Vault (NFTX)web3游戏赚钱WEB3COINMintySwap

世界币热门资讯