上一篇文章讲了常见的几种Mint NFT的方法,但是在这片“黑暗森林”之中,处处充满了陷阱,NFT资产被盗的事件屡见不鲜。关于资产安全的内容可以写很多,本文主要从Mint NFT的角度给大家介绍如何保护自己的资产安全。本文不涉及复杂的合约内容,对新手友好
首先,先说结论,NFT骗局可以层出不穷,但是做好以下几点可以帮助我们避免90%的骗局。
千万千万千万不要轻易地点击和用钱包授权来路不明的网站
不要随意授权来路不明的空投
重要资产放主钱包,Mint项目只用小钱包
定期清理授权
借助拦截插件
大家对于钓鱼网站应该都不陌生,在web2的世界,钓鱼网站往往会伪装成一个官方网站,比如某宝的官网,然后骗你输入账号和密码。同理在web3的世界钓鱼网站的操作手法也差不多,但是他们骗取的是你钱包的授权,你的私钥和你钱包中值钱的NFT。
目前听到的大部分NFT资产被盗事件都是由于把资产授权给了钓鱼网站,就连我们的杰伦哥在4月1号愚人这天也惨遭毒手,发文表示好友送他的bayc#3738被盗了,并且声明这不是开玩笑.
首先我们先来看一个典型的钓鱼网站.那么第一个就是常见的套路,使用容易的混淆的域名来迷惑NFT玩家,这里的假网站othersidles和真网站otherside非常相似。(吐槽一下:这个假网站真的是太粗制滥造了)
然后我们连接钱包之后会发生什么呢,这里我用了一个小钱包做测试,发现连接钱包之后就会弹窗让我们签名,但是签名的内容却是16进制的,我们无法得知到底签署的到底是什么内容,如果手快点了同意,那么你钱包里的资产估计就要被清空了。
我们再来看一下正常的签名是什么样子的,我们以Opensea为例,正常的签名都会让用文字的形式让你看到正在签署的内容。
如果说钓鱼网站很危险,那么避免和它接触是个好办法。很可惜,按理说只要是社交软件都可以传播钓鱼网站,推特,DC,微信,邮件,QQ等等。我们这里主要讲和NFT相关的软件在哪些情况下可能会碰到钓鱼网站
先说一个每个玩nft的人都应该碰到过的情况,每天都会有人在这种冒牌项目方下面@你来抽奖。上面的例子就是我从这里面随便找的。
其实要分辨这种也很简单,主要看四个方面:
第一个需要看的twitter id,可以看到这个项目的昵称和twitter id是不同的,我们要认准的是官方的twitter id。
第二个看的是你关注的人中有没有关注这个账号,如果是比较有名的项目但是自己关注的人当中只有一两个或者没有人关注,那么就是假的。
第三个要关注的是粉丝数,这个账号估计还下了点“血本”,买了17万的粉丝,有些假账号就只有十几个粉丝那就更不用看了。
第四个是看有没有蓝标,不过蓝标这个指标只能作参考,因为蓝标是按每个月收费的,而且马斯克收购twitter之后还把蓝标的价格涨价了,有蓝标的可能会更可信一点,不过也不排除骗子会花点小钱,骗更多的人,蓝标的样式可见下图二。
接下来我讲一个亲身经历的事情,有一个项目在mint当天由于某些技术原因导致某些白名单没有mint上,然后当时很混乱。这时候在评论区就有一个顶着项目方头像的账号说,现在项目方重启mint,请私聊他给新网址。然后去私聊他就会发给你一个钓鱼网站。
Discord是指社区的骗子直接私信你一个假的项目方信息,这种我在之前的DC使用教程中也讲解了如何关闭私信。
需要着重讲的是DC服务器被黑这种情况,比如骗子盗取了MOD或者管理员的账号之后,在官方通知频道发布了诈骗信息,同时还做了如下操作:1.修改项目方的旧公告,发布附带诈骗网址的新公告,并且@了所有人 2.禁言所有频道,防止互相提醒 3.禁用开票功能,防止有人与工作人员联系。
这种情况首先需要我们在心里就树立一个观念,在web3没有任何信息是完全可信的,需要我们有多个信息源来互相佐证。DC官方发布的消息也是,如果无法确定信息是否正确,可以去twitter私信官方账号或者在别的社群问一下别人。万一你点开了钓鱼网站,也可以使用我上面讲的方法观察一下,不要轻易授权
天上可能不会掉馅饼,但是作为一个刚开通了opensea账户的NFT小白,你可能隔三岔五就会在钱包发现一些“价值不菲”的空投,这些nft往往带着很高的offer,比如像下面这个。
下面这个博主也在5月31日发文指出了黑客利用了opensea的合约漏洞发起offter盗取你的nft。
所以遇到这种莫名奇妙的空投,不要去卖,也不要去接offer,hide掉就好。
这一点其实没有太多好讲的,对于你准备长拿的或者比较有价值的NFT放到自己的主钱包或者冷钱包,也不用放gas,平时不要去交互。mint nft的时候拿你的小钱包或者用一个新钱包就好。
不怕骗子技术差,就怕骗子有耐心。有些骗子获取授权之后如果发现钱包价值不高,可能不会立刻实施盗窃。还有另外一种情况,就是一些你授权的Dapp某一天突然被发现了黑客发现了漏洞,可以直接转移你的资产。这种情况,就需要我们定期使用工具来清除自己的授权。这里主要介绍两种方式
使用区块链浏览器提供的授权检查和取消工具,以ethereum为例,网址是
<https://etherscan.io/tokenapprovalchecker >
打开之后,首先点击"connect to web3"
连接之后,这里可以筛选不同的代币标准查看授权,在我们之前的文章中也讲过,主要看一看你授权的合约是不是一些未知的可疑合约,像opensea或者uniswap的合约都是可以直接看出来的。
除了以太坊浏览器的授权工具,其他链的区块链浏览器使用方法也基本类似,链接如下
<https://bscscan.com/tokenapprovalchecker https://hecoinfo.com/tokenapprovalchecker https://polygonscan.com/tokenapprovalchecker https://snowtrace.io/tokenapprovalchecker https://cronoscan.com/tokenapprovalchecker>
这是一个老牌的授权检查工具,也被大家最常用到,而且集成了很多公链,可以直接切换,使用方法和上面所说的一样,第一步链接钱包,第二步取消授权。
这里拦截插件的意思是指在你授权或者签名之前会对你进行一次弹窗提示,让你进行二次确认,上面所说的revoke.cash就有这个功能。
除此之外,我再推荐一个我常用的插件叫做 Metashield,谷歌商店搜索即可。它可以检测网站和合约是否在他们的安全白名单中,对你进行弹窗提示
以上是对新手在mint NFT项目和日常使用钱包中注意事项的简单介绍,由于篇幅原因,还有很多其他种情况无法介绍,如果想继续了解,可以添加下方微信,备注“撸白”,进群学习。