Web3黑暗森林指南: 如何保護你的NFT資產

過去一段時間，針對NFT的盜竊事件層出不窮。方式多種多樣，虛假鏈接、空投欺詐NFT、侵入DISCORD發布虛假鑄造鏈接等，許多玩家不小心點擊之后，遭遇財產損失。面對頻繁出現的騙局，玩家該如何保護自己的財產安全？針對這個問題，LooksRare、NFT社區SCC以及知名安全團隊慢霧，于2022年5月12日晚上舉行推特space，來談談NFT玩家該如何保護自己的NFT資產。常見的NFT欺詐和盜竊方式都有哪些？

1.釣魚網站

最常見的是，黑客注冊一個和項目方域名很相似的假域名。如：https://opensea.io是真實地址，https://opens?a.io是釣魚地址。仔細看那個?并不是英文字母e，非常具有迷惑性，這種字母是Punycode的一種編碼方式。黑客往往會在一些社區平臺上去發布這些域名，可能還會伴隨著虛假消息誘導用戶訪問。在釣魚網站方面，LooksRare已經聯合第三方共處理了124個LooksRare的虛假網站和129個虛假社交賬戶。除此之外還有一些其他類型的釣魚攻擊場景：●攻擊者發布虛假項目并宣傳空投活動，在用戶使用metamask登錄虛假項目網站的時候，攻擊者構造了NFT交易簽名內容(用于OpenSea掛單撮合)誘騙用戶完成簽名才能登錄。用戶簽名之后黑客利用簽名的內容用低價將用戶的NFT買走。●攻擊者冒充用戶在discord發布釣魚圖片誘導用戶訪問釣魚網站。●攻擊者發布偽裝成正常軟件的木馬程序，讓用戶運行。2.攻擊項目方的社區平臺

Web3.0古典音樂平臺KOLO.Market完成首輪股權融資:據官方消息，庫客音樂控股有限公司（以下簡稱“庫客”“庫客音樂”）（紐約證券交易所：KUKE），中國古典音樂服務平臺，擁有約300萬首音頻和視頻音樂曲目，宣布將收購位于新加坡的Web3.0公司KOLO.Market 49%的股權。

KOLO.Market是一個垂直整合的Web 3.0古典音樂平臺，旨在創建一個完善和健康的古典音樂生態系統。KOLO旨在利用Web 3.0趨勢中的音樂版權業務潛力，保護知識產權，最大限度地提高音樂創作者和版權所有者的收入，提供公平的利潤分配，并利用區塊鏈技術建立可持續的去中心化業務。通過KOLO.Market，藝術家可以自行認證獲得，音樂作品的永久所有權，并自行管理版權和享受更為公平的版稅分配；樂迷可以享受更為直接的互動并獲得收益；對于投資者來說，KOLO.Market提供了資產保障、快速交易以及數字音樂資源的整合服務。[2023/3/14 13:03:37]

例如盜取項目方的社交平臺(Discord，instagram等)。Discord的釣魚手法：1）利用瀏覽器惡意書簽盜取DiscordToken；2）騙取項目方人員直接在網頁版Discord上輸入惡意代碼，從而盜取DiscordToken。攻擊者得到項目方的DiscordToken后，就能登錄項目方的Discord賬號，然后在項目方Discord服務器發布虛假信息，引導用戶在虛假網站上進行交互從而盜取用戶的NFT等加密貨幣資產。3.中間人攻擊

Waterdrip Capital 推出 1000 萬美元的 Web3 高校創業專項基金:1月5日消息，Waterdrip Capital 宣布推出 1000 萬美元的專項投資基金用于支持高校 Web3 創業者。該基金將在未來1-2年內篩選全球上百個學生創業者項目給予現金支持，并幫助項目在 Web3 領域創業。

Waterdrip Capital 還將啟動第一期全球 Web3 高校創業領袖計劃“Waterdrip Web3 Entrepreneurship Program”，面向有志于 Web3 領域創業的在校生。現已正式開放申請，首期計劃申請截止日期為 2023 年 2 月 5日。[2023/1/5 10:22:56]

中間人攻擊方向有很多種，比如DNS劫持和BGP攻擊等。域名劫持又稱DNS劫持，是指在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應，其效果就是對特定的網絡不能訪問或訪問的是假網址。BGP劫持是指攻擊者惡意重新路由互聯網流量的情況。攻擊者通過不實地宣布實際上沒有擁有、控制或路由到的IP地址組的所有權來實現此目的。BGP劫持就好比有人改變一段高速公路上的所有標志，將汽車重新引導到錯誤的出口。4.代碼供應鏈攻擊

MPC自托管服務提供商Safeheorn推出Web3套件:11月18日消息，MPC自托管服務提供商Safeheorn推出Web3套件。該產品基于Safeheron自研MPC和TEE技術，用私鑰分片代替單私鑰，同時擁有機構級別的安全防護功能，提供資產管理及DeFi、NFT、GameFi、DAO、跨鏈橋等Web3應用場景的多簽治理能力。

據此前報道，Safeheron宣布完成700萬美元Pre-A輪融資，Yunqi Partners和Web3Vision聯合領投，PrimeBlock Ventures、Cobo Ventures、M77 Ventures、ShataCapital、Kryptos、Antalpha Ventures、Waterdrip Capital、7 O’CLOCK CAPITAL和前紅杉資本中國聯合創始人張帆參投。[2022/11/18 13:21:37]

代碼供應鏈攻擊是一種針對軟件開發人員和供應商的攻擊方式。攻擊者將內置后門的代碼上傳到公共存儲庫，其他開發人員如果不注意對代碼進行安全審核，就可能將有害代碼應用到自己的開發環境，繼而在分發自己開發的軟件時，將惡意程序傳播給更多用戶。案例：npm投攻擊

Web3唱片公司Hume完成1170萬美元A輪融資:9月23日消息，Web3唱片公司Hume宣布完成1170萬美元A輪融資，TCG Crypto領投，參投方包括Collab+Currency、Gemini Frontier Fund、Winklevoss Capital、gmoney.eth、Flamingo DAO、Noise DAO、The LAO、Distributed Global、Coopahtroopa等。Hume的首個metastar是angelbaby，Hume表示，在過去8個多月的時間里，angelbaby曾在Art Basel、Fluf Haus LA和SXSW完成演出。

Hume還在7月份發布Hume Genesis系列，總量1035個，分為3個稀有等級，該NFT系列持有者是能夠幫助metastar做出其藝術生涯和個人生活中重要決定的關鍵。（Forbes）[2022/9/23 7:16:16]

攻擊者發布惡意的npm包進行投，偽裝成官方的開發包，盜取助記詞和數字資產。慢霧安全團隊在05月03日發布安全提醒，攻擊者發布惡意的npm包：pensea-wallet-provider，os-wallet-provider。并在偽裝的NFT開源項目中偷偷引入這些惡意的包或欺騙開發人員使用惡意的npm包來盜取用戶的加密貨幣私鑰或助記詞。5.空投假的nft

Litentry CMO ：去中心化身份體系的實現將會取代互聯網Web2.0的賬戶體系:10 月 17 日由 Polkaworld 主辦的“波卡中國行”深圳站上，Litentry CMO Kayla 表示，去中心化身份體系的實現將會取代互聯網Web2.0的賬戶體系，成為Web3.0的一個重要組成部分。通過將不同鏈上網絡身份的信息整合，包括DeFi，鏈上治理等所產生的數據，可以創造一個鏈上的身份信用體系，幫助解決目前大部分區塊鏈中空投低效、缺少信用借貸、PoS 權力集中等問題。同時用戶在瀏覽和使用不同的應用時不需要反復登陸賬戶，而是使用同一個身份去登錄不同的平臺。Litentry 將致力于提供最便捷的 Web3.0 去中心化身份管理服務。[2020/10/17]

給藍籌持倉用戶空投虛假NFT，這類型的nft完全沒有價值，當你點擊進去，也是給黑客機會。NFT玩家該如何保護自己的資產安全？

1.黑暗森林法則：一是零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。二是持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。具體的內容可以查看慢霧出品的《區塊鏈黑暗森林自救手冊》2.對于交互網站，需要交叉核實驗證真實性。對于NFT新項目、土狗項目，建議使用新錢包，不使用主資產錢包。3.重視授權，對于登錄網站需要做好驗證，對于授權盡可能了解內容。經常使用https://revoke.cash/網站上查看自己是否有可疑的授權歷史。4.警惕郵件。一定自己去平臺官方網站看，而不是通過郵件點過去。欺詐者可以偽造相似的網站、用戶名、頭像、email等。5.錢包被盜之后，無論是何種原因被盜，都建議更換新錢包。6.任何時候，都不將助記詞和私鑰交給別人。7.盡可能學習使用冷錢包。LooksRare作為NFT交易平臺采取了哪些安全措施？

LooksRare作為NFT交易平臺，在交易端上也采取系列措施，可以使得用戶能夠更安全地進行交易：1.明文授權LooksRare是第一家采取EIP-712簽名的交易平臺，EIP-712是在用戶簽名的時候，可以清楚的看到你簽名的內容，而不是一串64位復雜的亂碼。之前opensea的掛單簽名就是一串亂碼，用戶完全不知道自己簽名內容是什么，也因此讓很多黑客有機可趁。OpenSea在LooksrRare之后也使用了EIP-712簽名。2.提示是否查看NFT的完整信息NFT的形式有html和javascript這種動圖形式，用戶在LooksRare查看這些NFT的時候我們會多次詢問你是否查看這些NFT的完整內容，需要用戶多確認一次。我們希望優先考慮用戶安全和隱私。因為這類型的NFT中可能包含跟蹤像素和其他具有惡意行為的代碼。單擊該鏈接，惡意NFT會自動加載并獲取用戶的IP、設備信息等。雖然大多數的nft項目方并不會作惡，但不會排除小部分黑客會抓到這個漏洞。

3.提示取消掛單當用戶有正在掛單的NFT，但是后來NTF被轉走了，官網會有一個非常刺目的感嘆號來提醒用戶取消當前掛單，因為如果用戶忘記掛單之后NFT暴漲，NFT轉回來后這個掛單其實還會在的，LooksRare會在前端頁面隱藏掉你的掛單，給你時間來取消或者激活掛單。保證其他用戶在你重新激活或者取消掛單前無法在前端看到這個掛單。

4.未認證的NFT系列需二次確認LooksRare會根據交易量，持有用戶數量來判斷是否是真實的系列，未認證的系列也會有二次提醒用戶使用正確的合約地址再搜索一次。

Tags：NFTWEBWEB3DISNFTNetworkcweb幣投資機構web3.0幣現價多少錢dis幣騙局

中幣交易所