freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

虚假私信钓鱼、假冒艺术家、高价转售:常见的NFT骗局
2022-06-14 14:56:55
所属地 安徽省

过去的2021年被称为“NFT元年”,Uniswap一双袜子卖16万美元,推特创始人五个单词拍出250万美元,加密艺术家Beeple的数字作品《First 5000 Days》在佳士得单一拍品网上以6900万美元价格成交。这一切都让人觉得不可思议。那么究竟什么是NFT?

关于NFT?

NFT,中文释义非同质化代币(non-fungible tokens),在中文的语境里又叫虚拟数字藏品。

作为当下大热的元宇宙里的一个分支,NFT在元宇宙原有的“平行于现实世界,又独立于现实世界的虚拟空间”的意义基础上,又多了一层唯一性、不可篡改性、与可确权性的特征。其中,唯一与不可篡改代表其作为藏品的非同质化的独特性;可确权代表其作为代币的交易属性。

鉴于独特性与交易属性,让NFT拥有了一种独属于所有者,且“易交易”+“防伪”的表面价值。这也就意味着,我们买的NFT头像并不仅限于呈现在我们视觉上的单纯的图片,而是这图片背后所对应的“独一无二”的代码凭证。即使以后有人随意复制这张图片,但也无法动摇我们是这组代码的唯一拥有者的事实。

NFT的起源可以追溯到2012年,当时出现了小面额的彩色比特币——彩色币(Colored Coins),代表不同用途的不同资产,包括收藏品、访问代币等;2014年,建立在彩色币的基础上,点对点金融平台Counterparty成立,发行非同质化和半非同质化代币。2015年及以后,交易卡片和meme流行起来,各种电子游戏使得存储在区块链技术上的数字资产普及起来,包括:剑、盾牌,甚至数字房地产地块等等;2017年,CryptoKitties进入人们视野,这是一款以可繁殖、可收藏和以加密猫为中心的游戏。每只加密猫都是独一无二的,100%归所有者所有,不能复制、拿走或摧毁。

近些年来,NFT的用例范围愈发广泛,涵盖数字艺术、域名、游戏、收藏品等。数据显示,2020年,除去清洗交易及废弃项目,NFT市场的总市值约为3.38亿 美元,年增长率高达300%以上。

然而,到2022年5月的第一周,这些代币的销量从去年9月的225,000枚的高位暴跌92%至1.9万枚。活跃钱包的数量从11月的119,000个下降了约88%至约1.4万个。

NFT安全威胁

即便如此,该市场仍在推动价值数千至数百万美元的加密货币,为诈骗者提供了大量机会,并引发了对资产安全性的诸多担忧。例如,以前小偷要偷一件艺术品,必须穿过博物馆内的多个障碍和摄像头;现在,他们可以使用恶意软件或社会工程技术破解数字钱包。

2020年,当数字艺术家Qing Han去世时,骗子趁机将她的作品作为NFT代为出售;去年9月,著名涂鸦艺术家Banksy的网站遭到黑客攻击,展示了出售其NFT作品的页面,最终一位收藏家支付了336.000美元。

NFT市场缺乏监管使其成为各种诈骗分子的天堂。一些公司(如Adobe)正在尝试创建身份验证标识,以便更轻松地验证令牌的合法性。尽管存在一些反欺诈举措,但在这个快节奏的空间中,一切将严重依赖于用户的行为。

NFT骗局

以下是一些涉及NFT的常见骗局,请注意识别避免上当:

Discord上的私信

Discord应用程序对网络犯罪分子具有相当大的吸引力,并且存在多种欺骗用户的方式。Discord小组聊天平台最初是为游戏玩家打造的,现已发展成为社交活动的虚拟水坑。玩家等都使用该应用程序在网上创建称为 “服务器” 的社区,这些社区既可以作为独立的论坛,也可以作为另一个网站的一部分。Discord支持语音、视频或文本,允许所有人在创建的社区中进行交互。

加密货币黑客可以以极快的速度执行(只要一个错误的链接,就可以不可逆转地盗取某人的财产),因此劫持Discord服务器是同时锁定大量用户的有效方法。仅在过去的几个月里,黑客就控制了超级受欢迎的NFT收藏Bored Ape Yacht Club、NFT交易平台OpenSea和其他几个平台的官方Discord服务器。

在这些案例中,一旦黑客控制了服务器,骗子就控制了受到社区信任的管理员的机器人。然后,他们开始通过这些机器人发布虚假公告,欺骗受害者放弃他们的加密货币或NFT。

在Discord上被骗的其他方式包括发送直接消息,欺骗用户相信信息来自真实的品牌方、艺术家或知名人物。Discord网络越大,收到诈骗消息的机会就越高。因此,用户必须谨慎点击陌生人发送的链接或回答任何要钱的请求。出于同样的原因,不要盲目相信新的NFT机会或项目,而不去检查报价是否合法。

社交媒体上的虚假个人资料

1655189573_62a83045365f6fc1b03d5.jpg!small?1655189573405

社交媒体用户——无论是在Twitter还是任何其他社交媒体平台上——都需要不断注意潜在的虚假个人资料。通常,这些是真实个人资料的副本,稍微注意细节可能足以区分它们——有时,仅仅一个字母就能让你落入骗子的陷阱之中。

同时,还要警惕那些提示用户对消息做出反应的机器人,或使用社交媒体与用户互动并请求访问加密钱包信息的技术支持诈骗者。虽然恶意行为者可能并不总能成功,但一旦被骗将意味着巨额损失。

此外,网络犯罪分子可能会假装想要找人聊天或是寻求帮助来尝试接触用户。一些“危险信号”可能有助于鉴别欺诈者,包括关注者的数量、推文和转发的数量,或者该帐户是否缺少原创内容。

网络钓鱼欺诈

1655189608_62a83068ee46904383751.jpg!small?1655189609516

1655189612_62a8306ca29be9e53a1ee.jpg!small?1655189613062

1655189616_62a83070df9639b66fb24.jpg!small?1655189617507

1655189620_62a830747da5e8c99054a.jpg!small?1655189621244

另一种常见的策略是复制完全合法品牌的网站和应用程序。NFT市场或假加密钱包的副本在 Discord、Twitter和论坛上随处可见,并且可以通过电子邮件共享。它们与真实品牌的相似程度令人咂舌,需要敏锐的眼光才能发现URL或总体布局中的细微差别。

出于这个原因,在点击之前仔细检查链接的URL至关重要,尤其是当网站要求提供个人信息时。我们应该永远记住一个黄金法则:永远不要将密码提供给我们NFT钱包之外的任何人。

一旦确认网站是真实的,下一步就是确认NFT的真实性。检查卖家的背景和以前的销售情况,还要检查NFT是否是原创的并且没有在其他市场出售,尤其是在购买需求量很大的昂贵加密艺术时。说到昂贵,可疑的低价也应该引起人们的注意,因为骗子倾向于以便宜的价格出售副本。

假冒艺术家

除了上述的Banksy故事外,其他艺术家也经历过类似的情况。Art Blocks项目“Fidenza”背后的艺术家Tyler Hobbs曾谴责SolBlocks平台使用他的代码出售其作品的复制品。Derek Laufman的艺术品也曾被一个假冒其姓名的虚假账户出售,讽刺的是,它甚至还获得了一个经过验证的图标。

类似的骗局不胜枚举,这也促使艺术家通过评论、审查和谴责未经授权出售其艺术品的虚假个人资料采取行动。

炒高抛售骗局

这种骗局与NFT投机非常相似,它涉及一个人或一群人购买大量NFT(或加密货币)并将其卖回给自己,以人为地制造一种资产需求量很大的假象。这样一来,转售利润将实现大幅增加。

在买方方面,该计划似乎也得到了一些在其个人资料中分享NFT的公众人物的验证,一切都好像在暗示这是一个绝佳的机会。最终,这些买家希望以更高的价格转售,可惜这种情况永远不会发生,因为骗子会在拿到钱后会清理他们的足迹。

“拉地毯”(Rug pull)骗局

拉地毯是一种典型的加密骗局,当团队在与资金一起消失之前抽取其项目的代币时,就会发生这种情况,从而使他们的投资者拥有无价值的资产。该骗局的主要特征:当骗局被揭露时,通常为时已晚。

就像炒高抛售骗局一样,骗子会炒作一个项目,招揽投资,然后在毫无征兆的情况下抛弃它。这种情况通常发生在他们认为自己已经完全“榨干了投资者”之后,这时他们就会从NFT钱包中提取所有资金,并从市场和社交媒体上删除他们的个人资料。

最著名的案例之一可以追溯到受《鱿鱼游戏》启发形成的加密货币——鱿鱼币。该代币在短短几周内就升值至2,800美元,然后突然消失。它所有的社交媒体账户和网站也都消失得无影无踪。据悉,诈骗者此番窃取了330万美元。

投标骗局

NFT拍卖中的虚假出价也是最常见的骗局之一。当真正的卖家试图拍卖NFT时,就会发生这种情况。卖家指出他们想要获取的加密货币,但诈骗者可以设法将其报价的货币更改为价值较低的货币。

另一种可行的方法是在市场中添加和删除NFT列表,将小数点向右移动一个数字。在没有注意到变化的情况下,买家最终可能支付的金额远远超过他们最初看到的金额。就像在现实生活中一样,请务必先看清价格再付款。

社交媒体账户劫持

虚假优惠和赠品是在社交媒体上激起用户兴趣的好方法。令人惊讶的是,它们甚至可能来自成熟且真实的用户帐户。然而,现实情况是,这些账户经常被诈骗者劫持以推广欺诈计划。

一旦用户试图访问虚假优惠,他们就会被要求输入密码或个人信息。遗憾的是,他们会发现,在泄露自己的详细信息后却一无所获。

虚假创造

在这些计划中,欺诈者将NFT空投到名人的钱包中,看起来好像名人实际上是在区块链上创造了NFT。这是因为许多买家监控特定钱包的新活动,以预测大众兴趣和NFT价值的飙升。

这些骗局涉及前面提到的大多数技术中的元素,包括假冒艺术家以及炒高抛售等。根据最大的NFT市场OpenSea的数据显示,在其平台上免费创建的NFT中有80%以上都是假的或抄袭作品。

安全建议

涉足NFT世界时需要提防许多骗局,而且像以往一样,骗子永远不会放弃牟利的机会。因此,始终保持专心是很重要的,适当的怀疑态度会让你在以后的道路上避免一些麻烦。以下是一些关于如何在使用NFT时保持安全的建议:

切勿与任何人分享您的助记词(seed phrase)或密码;

请尽可能地使用强大且唯一的密码以及多因素身份验证;

始终检查您收到的直接消息(DM)是否合法;

切勿点击承诺免费赠品或要求您快速回答的链接,如果您想这样做,请先检查链接的来源,这一条不仅适用于Discord平台;

将您的代币保存在冷存储硬件钱包中,而不是软件(又名“热”)钱包中。

原文链接:

https://www.welivesecurity.com/2022/05/23/common-nft-scams-how-avoid-them/

# NFT安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录