当心!黑客正盯着你钱包里的NFT
区块链思维
0xCc96
February 28th, 2022

Twitter有个知名度很高的NFT涂鸦作者,这几天他Doodles编号#2379的NFT被盗了!这是他4个月前以1.19ETH买入,本来准备拿到100ETH卖掉,但是因为点了一个钓鱼链接,瞬间就被盗了,黑客拿到后,马上以50ETH的价格卖掉,按照今天的价格也将近100万人民币。这个作者这两天一直在Twitter上求助,希望opensea、looksrare、x2y2这些NFT交易平台可以将这个NFT冻结,然后让他和目前的持有者谈判回购,要回来基本不可能了,只能寄希望于谈判能否回购。

像他这样的大V,本来防范意识应该很强,但是也栽了,只能说黑客越来越狡猾,黑客伪装成购买者和他在discord上交谈,从而让他放松警惕,然后给了他一个链接,第一个链接没有任何问题,让他再一次确定对面是个诚心购买的玩家,但是后面一个链接却是钓鱼链接,他点了之后,那个价值百万的NFT立刻易主。

黑客第一次得手之后,换了个号想继续诈骗,但这次被这个作者识破了,没有继续上当。

很多人喜欢撸各种免费的空投,对于一些钱包的授权也没有鉴别,这真的很危险,不管是之前的erc20代币被盗,还是现在的NFT被盗,大部分都和钱包授权有关,而且骗子开始把假的做的越来越真,稍不注意就会让你的资产一夜归零。

和上面那个作者相类似的,最近Opensea由于钓鱼邮件还发生NFT集体被盗事件,Opensea官方2月18日开始了一项智能合约升级,以解决平台上的非活跃列表问题。作为合约升级的一部分,所有用户都需要将他们在以太坊上的NFT列表迁移至新的智能合约中,于是黑客伪装成官方给用户发了一封升级提醒邮件,很多用户防范意识不强,没有具体去看授权的内容,就给了钓鱼链接授权,这导致有32位用户的地址受到了攻击,被盗的NFT包括Bored Ape Yacht Club NFT、Cool Cats、Doodles和Azuki NFT这些高价值的,价值达到了170亿美金。

NFT是一个爆炸性的市场,从2020年的1.06亿美元增加到了2021年的442亿美元,而且随着元宇宙的加持和传统行业对NFT的涉水,在未来NFT市场很可能成为加密行业熊市里的独立行情,也会成为未来黑客重点攻击的对象。

 加密世界资产被盗是一件很棘手的事情,能被追回来的概率极低,除非黑客良心发现,所以作为加密世界的一员,安全防范意识极为重要,比如说重资产要放进安全钱包,一般不操作,每一次操作涉及到授权的时候务必看清楚授权的内容,谨防钓鱼网站。如果喜欢撸免费的空投,就申请一个新钱包,里面只放一点资产作为GAS费就好。

 最常见的几个骗局

 一、通过短信或者邮件告知你资产风险,然后诱骗你点击钓鱼网站进行授权,这一类是最常见的骗局,本来是很好识别,但是如这一次opensea被盗,黑客卡在系统升级官方确实存在发邮件可能性的点上,用假邮件乱真,让人难以识别,这个时候就要看清楚需要授权的内容了。

 二、通过社交媒体和你私信聊天,然后打消你的顾虑,给你的网站是钓鱼网站,接着一步步套路你,就像前文讲的那个作者,百密一疏还是被套路了,防不胜防。

 三、空投骗局,在土狗横行的时候,我一天可以收到几十个免费空投的信息,很多诈骗就夹在这里面,你要领取代币,就需要用钱包授权,如果黑客在授权上做了手脚,那么你的资产很可能就会被盗。

钱包授权的危险性

 因为所有的交易都是链上行为,都是代码层面的执行,所以不管是代币转移还是代币兑换都会涉及到钱包授权问题。

就现在授权分为有限授权和无限授权,有限授权就是,比如这一次你要在uniswap里将3000U兑换成以太坊,那么你可以授权uniswap只调用你3000U的权限,但是这样的问题是,你后续要调用U,又要继续授权,而且每一次授权都需要花费不少手续费,这显然非常不经济,所以uniswap使用的是无限授权,就是授权一次,永久可以调用,对于uniswap、compound这样的项目,不需要过于担心,至少项目方不会作恶,但是风险是合约出现问题被黑客攻击。而很多时候,特别是撸空投,或者在进行一些土狗挖矿我们授权的时候,如果进行的是无限授权,那么不仅是现有钱包里的资产,连以后有的资产,都有被盗的可能性,非常危险。

如何查看授权以及取消授权

我找到一个查看授权的网站:https://ethallowance.com/

图中是我的钱包授权情况,我在sushiswap中添加过流动性,所以也有几个授权,而且这些也是无限授权。

如果要取消,旁边那个红色按钮便可以将这些授权取消,非常方便,也建议大家去检查一下自己的授权情况,如果授权过一些野鸡网站,赶紧取消。

对于钱包的管理,再一次提醒,多申请几个钱包,将重要资产放进一个钱包,一般情况下不动,要进行defi等操作的钱包,定期去看看授权情况,将以前无限授权过的记得取消,仅仅留几个现在还要用的,然后撸空投专门一个钱包,里面放点gas费资产就好。

目前的加密世界是一个满是荆棘的莽荒世界,里面如同没有规则的丛林,充满了弱肉强食的游戏,黑客是凶残的掠食者,游离在代码的世界里,没有规则能够约束他们,我相信在未来会有力量制约,但是现在来看,我们能做的就是小心翼翼保护好自己的钱包。

NFT虽然会有美好的未来,但是眼下依旧需要谨慎,除了被黑客盯着容易被盗以外,很多NFT的流动性也堪忧,当热度一过,手里的NFT光有价值,没有市场,也不过是一堆JPG或者GIF。

关于NFT的价值类文章,值得单独拿一篇文章来讲,在漫漫熊市,学习才是是最好的投资,放下浮躁的心,为几年后的牛市做准备,毕竟2021年的牛市赚到钱的大多数都是2018年踩过坑又没放弃的人,而我们坚定方向,潜心学习,下一次财富腾飞的时候,不会少了我们的船票。

Subscribe to 区块链思维
Receive the latest updates directly to your inbox.
Verification
This entry has been permanently stored onchain and signed by its creator.
Arweave Transaction
9KAXYdxCQcWnQff…WFg3-Dch4cTD4fc
Author Address
0xCc964360fBFE6CD…FE959199409335E
Content Digest
7NN51VxEraCzsYC…CE8zyjjXxh97TFc