NFT钓鱼流程及防范技巧,其中一类是盗取用户签名的钓鱼攻击,Ąe;另一类是高仿域名和内容的c8;NFT钓鱼网站。那么如果用户不幸中招了怎么办呢?今天我们就来告诉你怎么办。
♥
‘ૢ钓鱼网站d0;是如何“钓”你的?’
第一种:盗取用户签名&∗nbÅsΔp;
在前两篇文章里,我⊗们提到过该类钓鱼网站主要是引诱用⇒户在钓鱼网站签名,如࠽果用户签署了签名,则钓鱼网站可以获取到用户钱包中所有的NFT。具体的签名内容如下:
上图中红¾框一显示的是签名请求的网站来源,红框二显示的是请求的签名内容,由于显示Î的内容是一串二进制字符,所以用户其实不知道具体签署的是什么服务。
ι
如果用户点击了“Sign”按钮,则可能会授权一些无法预测的´服务,包括一些危险操作,如:授权钓鱼网站拥有用户钱包中NFT的转账权限等。
第二种:高仿域名ąc;和内容的NFT钓鱼网站&n࠷bsp;ë
前面的的文章里我们提到过该类钓鱼网站ઽ主要分为三类,第一类是仅更换原官网的顶级域名,第二类是主域名添加♠单词或符号进行混淆,第三类是添加二级域名ⓠ进行混淆的钓鱼网站。
涉及到的钓鱼手法主要分为三种,第一›种是伪造NFT项目官网诱骗用户直接进行转账的钓鱼网è站,第二种是使用假空投诱骗用户授权的钓鱼网站,第三种是诱骗用户输入钱包助记词的钓鱼网站。¦下面将对其钓鱼手法进行详细介绍。
1.伪造官ćf;网引诱用户直接转账
该类钓鱼网站主要是通过伪造NFT੧项目官网UI界面,诱骗用户连接钱包之后,点Ñ击“mint”按钮进行铸币。用户点击之后会向虚假的项目方地址转账,但是并不会收到∑对应的NFT。具体如下图所示:
用户进入到钓鱼网站后,会首先点击对应的“connect wallet”按钮,连接钱包。之后UI界面会进行刷新,出现如图所示的“mint”按钮。通常页面上还会出现类似“xx用户已经mint了xxⓥNFT”这样的浮动标题,主要是为了刺激用户赶紧点击®mint。如下图所示:
用户如果点击“Mint”按钮之后,一般情况下钓鱼网站为了防止自己的转账黑地址泄露ⓕ,会首先检测钱包余额是否为ε空。如果为空则不会进行交易,如果不为空才会弹出类似MetaMask的小狐狸钱包,进行交易。
ρ2.ⓡ假空投诱骗用户进行NFTd0;授权
该类钓鱼网站主要是利用假空投等手段,诱骗用户访问钓鱼网站。在用户连接钱包后,就会出现“CLAIM NOW”等ો引诱用户进行点击的按钮ß,用户点击之后就会对钓鱼网站的黑地址进行授权。具体如下图所示:
之后获得授权的钓鱼网站会੦将用户钱ⓝ包中的NFT全部转走,具▒体如下图所示:
è
õ 下面是受害者被盗取的N´FT交易:
3.诱ó骗用户填写助记词👽
该类钓鱼网站主要是在网页连接钱包处,或者其他位置诱骗用户点击,之੧后弹出一个伪造℘的网页,提示用户诸如“MetaMask插件版本需要升级”等信息。如果用户相信并填写了自己的钱包助记词,那么用户的私钥就会上传到攻击者服务器导致用户钱包被盗。具体如下图所示:
该钓鱼网站弹出如下信息,提示用户检测到了MetaMask的一个安全问题,需要™用户升级该钱包ⓗ插件版本થ。如果用户在框中输入助记词,则会导致钱包被盗。
‘必须学会的防范技≡巧’
⊗ 一:防范签名被盗Þ
目前多数网站为–了保护用户安全已经不支持盲签的签名方式,但是如果用户访问某些网站时仍然遇到盲签的♬情况,请尽量拒绝签署。本文主要讨论以下两种非盲签的情况下,用户如何防范钓ઘ鱼。
1↔.用户签署交易时需要确认签署વ的内Ζ容
如上¬图所示,用户签署授权时主要是对红框部分的服务条款进行签名,包括:提示用户如果点击“Sign”按钮则代表接受网站的服务条款,这个请求不会发d0;起交易或者消耗gas费,并且该授权状态将在24小时后重置等。以及包括签署签名的用户地址、Nonce值等。
2.用户在进行交易签名前,应进行À多方信息交叉♫验证,确保发起交易的网站是真官网。
二:防范高仿域名和内容的NFζT钓鱼网站 ࣻ′;
•此前文章我们介绍了三种高仿域名和内容的ÛNFT钓鱼网站,其中第三种是直接诱骗用户输入助记词。针对该类网站,用户只需记住任何要求输入助记词的网页都是不安全的即可。本ï文主要介绍其他两种钓鱼网站的相关防范措施:
શι1. 伪造官网引诱用户直接转账Â
这类的钓鱼网站通常域名和δ内૯容都跟原项目官网十分相似,用户在访问时需特别ਜ注意识别官网。
1)一般在访Ÿ问NFT官网时,首页通常有官方社交媒体账号,≅如:twitΦter、discord等。
目前很多NFT官方网站都不会直接提供“min♨t”功能,或将更多数量的NFT放到了诸如Opensea之类的交易所上进行Ψ售卖,ξ如下图所示:
同时,一般在NFT项目官网底部都会列举出官网社交账号,下图红框处从左往右依>次是:Discoੋrd、twitter、traitsniper、openásea。
用户可Ô以访问这些社交账号,首先识别其账号是否是官方账号,通常直接在twitter上搜索项目名称可以发现官方账号,如果存在同名的情况那么注意筛选出关注人数较多的账号,具体如ª下图所示:
上图中显示的第一个红框就是òNFT项目对µ应的官网,任何其他的网址都是钓鱼网站;第二个红框是该项目在其他平台上的官方链接,如:Opensea交易所等;第三个红框是关注的人数,从人数上也可以对官方账号进行筛选,当然也需要警惕钓鱼大号,最好是进行信息ਯ交叉验证,保证自己访问的是官网。
⊂2)ćc;假空 投诱骗用户进行NFT授权
攻击者通常会通过Discord等社交账号发布假空投的钓鱼链接,这一类的钓鱼网站ચ往往难以识别真假,本文提出以下几点建议希望帮助用户¶减少损失。
a. Āe;资产隔离▩
在进行这Θ类危险交易时,可以采用资产“隔离૯的方式进行,通常包括以下几种类型:
钱包隔离:用户可以ì将Ζ钱包根据用途分为两类શ,第一类用于存储资产,包括一些大额资产等,该类资产可以使用冷钱包存储提高安全性;第二类用于资产交易,尤其是在进行诸如领取空投这样的危险交易时,可以使用一些临时钱包。临时性的钱包包括:使用MetaMask之类的钱包重新创建一个地址里面存储很少的钱;或一些网络钱包如:Burner Wallet等,该钱包可以通过在网页上简单地设置转账的参数,如:转账地址、金额等,就可以生成一个临时性的小额交易二维码,如下图所示:
🙀®ⓢ
交易媒介隔离:通常指的是用户ς在交易时−使用的PC、浏览器等,可以在进行一些可能存在的危险交易时使用不同的PC,👽或者使用不同的浏览器。
Ä b. 使用项目方⊥智能合约进∏行mint()
上文提到有很多骗Η局在推广免费空投领取时,“mint”按钮实际上触发的是请求用户签名的操作,一旦点击将会批准钓鱼网站转移用户的NℑFT。所以如果能够确定领取空投的合约地址,直接调用智能合约里的mint()方法是更安全的方式,下图是某NFT的合约:♦
如上图所示,首先点击“contract”,之后选择“Write Contૌract”页签,接下来需要点击“Connect to Web3”按钮,ÿ连接钱包。如下图所示Σ:
接着‰点击mint()方法,设置mint需要的NFT数量和金额,点击“Write”按钮即可。这种方式因为是直接调用的合约方法,所ય以不存在被钓鱼网站盗用签名的情况。但是,用户在调用NFT合约时需注意同样需要交叉验证项目合约的地址,避免被钓鱼合约诱导受骗છ。
c. 确认ƒ消ਮ息源±
如果用户收到领取空投的钓鱼网站链接,首先Θ需要确认信息源,一般可以在官方twitter等社交账号上确认下有没有发布的空投消息。如果没有的话,请不要随意Ċa;点击其他渠道上发布的空投链接。(转载自金色财经)
24Η小时滚动播报最新的财ⓡ经资讯³和视频,更多粉丝福利扫描二维码关注(sinafinance)
新浪࠽财经意见反馈ત留言板Θ
All Rig¾hts Reserved 新Π浪公司 版权所有
