Сховані небезпеки в світі шифрування: методи шахрайства з NFT та стратегії запобігання
У сфері криптовалют, що сповнена невідомості, ховається безліч пасток і криз. Інциденти із вкраденими активами трапляються часто, навіть найбільш помітні NFT проекти та відомі особи не застраховані. Наприклад, засновник проекту Moonbirds Кевін Роуз у січні цього року став жертвою хакерської атаки, втративши 25 Chromie Squiggles та інші NFT активи.
З ростом випадків крадіжки NFT та зростанням сум, що підлягають розгляду, давайте разом обговоримо поширені типи шахрайства та заходи їх запобігання.
Різноманітність NFT шахрайств
Зі збільшенням масштабу ринку NFT, крадіжки у стилі "нульова покупка" стають все більш розповсюдженими, а методи атак постійно з'являються нові.
1. Пастка фальшивої реклами
Нещодавно один з лідерів думок у сфері шифрування зазнав серйозного хакерського нападу, в результаті якого його облікові записи в соціальних мережах, електронна пошта та гаманці були зламані, і всі шифровані активи та NFT були вкрадені. Після аналізу події виявилося, що причиною стала помилкова експлуатація апаратного гаманця як гарячого гаманця на новому пристрої, а також випадкове натискання на рекламне посилання в пошуковій системі під час завантаження програмного забезпечення для трансляції, внаслідок чого було встановлено шкідливу програму. Ця подія підкреслює потенційні ризики рекламної системи пошукових систем, адже будь-хто може обійти нормальні рейтинги за допомогою платної реклами, тоді як користувачі зазвичай не настільки уважні до таких оголошень, які відображаються на перших позиціях у результатах пошуку.
2. Фальшиві аерозліти обманюють
Новий вид шахрайства полягає у використанні високої ціни для купівлі аірдроп NFT як приманки. Коли жертви отримують NFT аірдроп з невідомим походженням, шахраї пропонують привабливу високу ціну для покупки. Як тільки інвестори намагаються здійснити угоду з цими NFT, угода зазнає невдачі через так звані "особливі причини", що призводить до перенаправлення на ретельно замасковані фішингові сайти для авторизації, що в кінцевому підсумку призводить до крадіжки активів.
3. NFT підробки
У березні 2022 року одна галерея в Токіо, Японія, опублікувала оголошення, в якому попереджала про те, що злочинці використовують її ім'я для продажу NFT творів відомих художників. Насправді, ринок переповнений численними підробками художніх творів, які крадуться та виставляються на NFT-ринку. Більше того, деякі шахраї завантажують на платформи NFT підроблені проекти, назви яких схожі на відомі проекти, навіть підробляючи торгові записи, щоб заплутати користувачів, особливо тих, хто звик використовувати функцію пошуку.
4. Атака фішингом
У лютому 2022 року, під час оновлення смарт-контрактів на відомій платформі торгівлі NFT, хакери скористалися нагодою, підробивши офіційні електронні листи, щоб спонукати користувачів перейти за фішинговими посиланнями та авторизувати гаманці, що призвело до крадіжки активів кількох відомих NFT проектів. Оскільки багато NFT проектів вимагають від користувачів прив'язати електронну пошту для отримання останніх новин, це також зробило електронну пошту зоною підвищеного ризику для шахрайства. Зловмисники часто видають себе за офіційних представників, надсилаючи фішингові посилання під приводом оновлення адреси контракту, повторної перевірки гаманця тощо.
5. Офіційний обліковий запис був вкрадений або підроблений
Офіційні акаунти NFT проектів також часто стають мішенню для хакерів, що може бути пов'язано з тим, що співробітники зазнають фішингових атак, завантажують шкідливе програмне забезпечення або не активують двофакторну аутентифікацію. Наприклад, у квітні 2022 року офіційний акаунт соціальних мереж відомого NFT проекту був зламаний хакерами, в результаті чого було вкрадено значну кількість активів користувачів. Крім того, деякі шахраї підробляють офіційні акаунти NFT проектів і, здобувши довіру користувачів, надсилають фішингові сайти для підписання, таким чином отримуючи NFT активи без згоди користувачів. Надсилання посилань у приватних повідомленнях також є поширеним методом шахрайства, шахраї часто масово надсилають приватні повідомлення членам спільноти на різних соціальних платформах, іноді навіть видаючи себе за адміністраторів, щоб обманом отримати приватні ключі гаманців користувачів.
6. Атака на підробку адреси
Багато користувачів звикли перевіряти правильність адреси, дивлячись на кілька перших і останніх цифр адреси, що дає змогу зловмисникам скористатися цим. Вони підробляють адресу контракту з такими ж першими та останніми цифрами і постійно проводять невеликі аерозливи токенів. Якщо користувачі не перевірять повну адресу, вони можуть легко стати жертвами шахрайства. Крім того, необхідно бути обережними з атаками на отруєння адрес при нульових транзакціях, оскільки багато користувачів можуть помилково вважати ці адреси надійними об'єктами для взаємодії.
Правильні методи захисту активів
Операції в ланцюгу, як тільки вони виконуються, не можуть бути скасовані. Більшість звичайних користувачів важко відшкодувати свої активи після їх викрадення. Тож як ми можемо захистити свої активи від шахрайства?
1. Належним чином зберігайте приватний ключ і мнемонічну фразу
На відміну від можливості змінити пароль після витоку облікових записів Web2, якщо приватний ключ та мнемонічна фраза гаманця будуть скомпрометовані, активи піддадуться ризику повного пограбування. Зловмисники часто використовують NFT-роздачі, лотереї або безкоштовне карбування, щоб спонукати користувачів розкривати свої приватні ключі або мнемонічні фрази, іноді вони навіть маскуються під офіційних осіб або створюють підроблені сайти, щоб знизити пильність користувачів.
2. Зберігайте улюблені веб-сайти та перевіряйте офіційні соціальні акаунти
Хоча фішингові сайти здаються легкими для розпізнавання, вони все ще є однією з основних причин крадіжки NFT-активів. Користувачам слід дотримуватися обережності, зберігаючи улюблені офіційні веб-сайти, входячи в соціальні облікові записи через офіційний сайт (можна оцінити за кількістю підписників, активністю облікового запису, взаємодією в коментарях тощо) та уникати легкого натискання на посилання у приватних повідомленнях або електронних листах. Крім того, встановлення плагінів для боротьби з фішингом також може ефективно допомогти в розпізнаванні деяких фішингових сайтів.
3. Реалізація ізоляції активів та регулярна перевірка
Рекомендується використовувати кілька гаманців для участі в торгівлі NFT та інших активностях, а також суворо розділяти гаманці для зберігання активів та гаманці для щоденних взаємодій, особливо гаманці з великими сумами коштів, які повинні уникати будь-яких взаємодій. Крім того, користувачам слід регулярно перевіряти, чи є у гаманцях взаємодії з аномальними контрактами, та своєчасно скасовувати непотрібні дозволи.
4. Багатоканальна перевірка інформації
Перед участю в проектах NFT або проведенням їх карбування, ретельна перевірка є надзвичайно важливою. Користувачі можуть оцінити надійність проекту, перевіряючи, чи є соціальні облікові записи підтвердженими, а також перехресно перевіряючи інформацію про проект через кілька каналів.
5. Уважно перевірте адресу
Для будь-якої операції з переказу користувачам необхідно ретельно перевірити повну адресу контракту. Можна використовувати функцію адресної книги гаманця, вибираючи збережену адресу для переказу. Крім того, для отримання адреси контракту, необхідної для участі в проекті, користувачі повинні отримувати її з офіційних джерел, щоб уникнути зміни зловмисниками.
Зі зростанням технологій, методи крадіжки активів також розвиваються. Як тільки користувач виявляє, що його активи були вкрадені, він повинен негайно вжити такі заходи:
Негайно ізолювати залишкові активи
Змінити паролі всіх відповідних соціальних акаунтів
При підозрі на вірусну атаку негайно відключіть пристрій від мережі
Розгляньте можливість звернення за допомогою до професійної компанії з безпеки, спробуйте повернути вкрадені кошти
У цьому світі шифрування, сповненому можливостей та ризиків, збереження пильності, безперервне навчання та вжиття відповідних заходів безпеки буде найкращим способом захистити свої активи.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
18 лайків
Нагородити
18
7
Поділіться
Прокоментувати
0/400
GhostChainLoyalist
· 23год тому
Знову аірдроп замилювання очей. Не попадайтеся!
Переглянути оригіналвідповісти на0
SchroedingerAirdrop
· 07-28 17:49
Класичні пастки, мабуть, вже всі пройшли.
Переглянути оригіналвідповісти на0
GasFeeVictim
· 07-28 15:35
Знову втратили три e Уу-у
Переглянути оригіналвідповісти на0
DegenDreamer
· 07-28 15:34
Прощавайте, невдахи обдурювали людей, як лохів.
Переглянути оригіналвідповісти на0
TokenSleuth
· 07-28 15:30
Сотні років не застраховані~
Переглянути оригіналвідповісти на0
BloodInStreets
· 07-28 15:24
невдахи завжди повинні платити податок на інтелект, щоб запам'ятати зростання
Розкриття методів шахрайства з NFT: повний аналіз шести пасток та стратегій запобігання
Сховані небезпеки в світі шифрування: методи шахрайства з NFT та стратегії запобігання
У сфері криптовалют, що сповнена невідомості, ховається безліч пасток і криз. Інциденти із вкраденими активами трапляються часто, навіть найбільш помітні NFT проекти та відомі особи не застраховані. Наприклад, засновник проекту Moonbirds Кевін Роуз у січні цього року став жертвою хакерської атаки, втративши 25 Chromie Squiggles та інші NFT активи.
З ростом випадків крадіжки NFT та зростанням сум, що підлягають розгляду, давайте разом обговоримо поширені типи шахрайства та заходи їх запобігання.
Різноманітність NFT шахрайств
Зі збільшенням масштабу ринку NFT, крадіжки у стилі "нульова покупка" стають все більш розповсюдженими, а методи атак постійно з'являються нові.
1. Пастка фальшивої реклами
Нещодавно один з лідерів думок у сфері шифрування зазнав серйозного хакерського нападу, в результаті якого його облікові записи в соціальних мережах, електронна пошта та гаманці були зламані, і всі шифровані активи та NFT були вкрадені. Після аналізу події виявилося, що причиною стала помилкова експлуатація апаратного гаманця як гарячого гаманця на новому пристрої, а також випадкове натискання на рекламне посилання в пошуковій системі під час завантаження програмного забезпечення для трансляції, внаслідок чого було встановлено шкідливу програму. Ця подія підкреслює потенційні ризики рекламної системи пошукових систем, адже будь-хто може обійти нормальні рейтинги за допомогою платної реклами, тоді як користувачі зазвичай не настільки уважні до таких оголошень, які відображаються на перших позиціях у результатах пошуку.
2. Фальшиві аерозліти обманюють
Новий вид шахрайства полягає у використанні високої ціни для купівлі аірдроп NFT як приманки. Коли жертви отримують NFT аірдроп з невідомим походженням, шахраї пропонують привабливу високу ціну для покупки. Як тільки інвестори намагаються здійснити угоду з цими NFT, угода зазнає невдачі через так звані "особливі причини", що призводить до перенаправлення на ретельно замасковані фішингові сайти для авторизації, що в кінцевому підсумку призводить до крадіжки активів.
3. NFT підробки
У березні 2022 року одна галерея в Токіо, Японія, опублікувала оголошення, в якому попереджала про те, що злочинці використовують її ім'я для продажу NFT творів відомих художників. Насправді, ринок переповнений численними підробками художніх творів, які крадуться та виставляються на NFT-ринку. Більше того, деякі шахраї завантажують на платформи NFT підроблені проекти, назви яких схожі на відомі проекти, навіть підробляючи торгові записи, щоб заплутати користувачів, особливо тих, хто звик використовувати функцію пошуку.
4. Атака фішингом
У лютому 2022 року, під час оновлення смарт-контрактів на відомій платформі торгівлі NFT, хакери скористалися нагодою, підробивши офіційні електронні листи, щоб спонукати користувачів перейти за фішинговими посиланнями та авторизувати гаманці, що призвело до крадіжки активів кількох відомих NFT проектів. Оскільки багато NFT проектів вимагають від користувачів прив'язати електронну пошту для отримання останніх новин, це також зробило електронну пошту зоною підвищеного ризику для шахрайства. Зловмисники часто видають себе за офіційних представників, надсилаючи фішингові посилання під приводом оновлення адреси контракту, повторної перевірки гаманця тощо.
5. Офіційний обліковий запис був вкрадений або підроблений
Офіційні акаунти NFT проектів також часто стають мішенню для хакерів, що може бути пов'язано з тим, що співробітники зазнають фішингових атак, завантажують шкідливе програмне забезпечення або не активують двофакторну аутентифікацію. Наприклад, у квітні 2022 року офіційний акаунт соціальних мереж відомого NFT проекту був зламаний хакерами, в результаті чого було вкрадено значну кількість активів користувачів. Крім того, деякі шахраї підробляють офіційні акаунти NFT проектів і, здобувши довіру користувачів, надсилають фішингові сайти для підписання, таким чином отримуючи NFT активи без згоди користувачів. Надсилання посилань у приватних повідомленнях також є поширеним методом шахрайства, шахраї часто масово надсилають приватні повідомлення членам спільноти на різних соціальних платформах, іноді навіть видаючи себе за адміністраторів, щоб обманом отримати приватні ключі гаманців користувачів.
6. Атака на підробку адреси
Багато користувачів звикли перевіряти правильність адреси, дивлячись на кілька перших і останніх цифр адреси, що дає змогу зловмисникам скористатися цим. Вони підробляють адресу контракту з такими ж першими та останніми цифрами і постійно проводять невеликі аерозливи токенів. Якщо користувачі не перевірять повну адресу, вони можуть легко стати жертвами шахрайства. Крім того, необхідно бути обережними з атаками на отруєння адрес при нульових транзакціях, оскільки багато користувачів можуть помилково вважати ці адреси надійними об'єктами для взаємодії.
Правильні методи захисту активів
Операції в ланцюгу, як тільки вони виконуються, не можуть бути скасовані. Більшість звичайних користувачів важко відшкодувати свої активи після їх викрадення. Тож як ми можемо захистити свої активи від шахрайства?
1. Належним чином зберігайте приватний ключ і мнемонічну фразу
На відміну від можливості змінити пароль після витоку облікових записів Web2, якщо приватний ключ та мнемонічна фраза гаманця будуть скомпрометовані, активи піддадуться ризику повного пограбування. Зловмисники часто використовують NFT-роздачі, лотереї або безкоштовне карбування, щоб спонукати користувачів розкривати свої приватні ключі або мнемонічні фрази, іноді вони навіть маскуються під офіційних осіб або створюють підроблені сайти, щоб знизити пильність користувачів.
2. Зберігайте улюблені веб-сайти та перевіряйте офіційні соціальні акаунти
Хоча фішингові сайти здаються легкими для розпізнавання, вони все ще є однією з основних причин крадіжки NFT-активів. Користувачам слід дотримуватися обережності, зберігаючи улюблені офіційні веб-сайти, входячи в соціальні облікові записи через офіційний сайт (можна оцінити за кількістю підписників, активністю облікового запису, взаємодією в коментарях тощо) та уникати легкого натискання на посилання у приватних повідомленнях або електронних листах. Крім того, встановлення плагінів для боротьби з фішингом також може ефективно допомогти в розпізнаванні деяких фішингових сайтів.
3. Реалізація ізоляції активів та регулярна перевірка
Рекомендується використовувати кілька гаманців для участі в торгівлі NFT та інших активностях, а також суворо розділяти гаманці для зберігання активів та гаманці для щоденних взаємодій, особливо гаманці з великими сумами коштів, які повинні уникати будь-яких взаємодій. Крім того, користувачам слід регулярно перевіряти, чи є у гаманцях взаємодії з аномальними контрактами, та своєчасно скасовувати непотрібні дозволи.
4. Багатоканальна перевірка інформації
Перед участю в проектах NFT або проведенням їх карбування, ретельна перевірка є надзвичайно важливою. Користувачі можуть оцінити надійність проекту, перевіряючи, чи є соціальні облікові записи підтвердженими, а також перехресно перевіряючи інформацію про проект через кілька каналів.
5. Уважно перевірте адресу
Для будь-якої операції з переказу користувачам необхідно ретельно перевірити повну адресу контракту. Можна використовувати функцію адресної книги гаманця, вибираючи збережену адресу для переказу. Крім того, для отримання адреси контракту, необхідної для участі в проекті, користувачі повинні отримувати її з офіційних джерел, щоб уникнути зміни зловмисниками.
Зі зростанням технологій, методи крадіжки активів також розвиваються. Як тільки користувач виявляє, що його активи були вкрадені, він повинен негайно вжити такі заходи:
У цьому світі шифрування, сповненому можливостей та ризиків, збереження пильності, безперервне навчання та вжиття відповідних заходів безпеки буде найкращим способом захистити свої активи.