買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > ICP > Info

NFT:Web3安全連載(3) | 深入揭秘NFT釣魚流程及防范技巧_WEB3

Author:

Time:1900/1/1 0:00:00

點擊閱讀:Web3安全連載當硬核黑客開始研究“釣魚”你的NFT還安全嗎?

點擊閱讀:Web3安全連載一文看懂典型的NFT合約漏洞有哪些?

我們推出連載系列的最后一篇——NFT釣魚流程及防范技巧,其中一類是盜取用戶簽名的釣魚攻擊,另一類是高仿域名和內容的NFT釣魚網站。那么如果用戶不幸中招了怎么辦呢?今天我們就來告訴你怎么辦。

「釣魚網站是如何“釣”你的?」

第一種:盜取用戶簽名?

在前兩篇文章里,我們提到過該類釣魚網站主要是引誘用戶在釣魚網站簽名,如果用戶簽署了簽名,則釣魚網站可以獲取到用戶錢包中所有的NFT。具體的簽名內容如下:

上圖中紅框一顯示的是簽名請求的網站來源,紅框二顯示的是請求的簽名內容,由于顯示的內容是一串二進制字符,所以用戶其實不知道具體簽署的是什么服務。

如果用戶點擊了“Sign”按鈕,則可能會授權一些無法預測的服務,包括一些危險操作,如:授權釣魚網站擁有用戶錢包中NFT的轉賬權限等。

第二種:高仿域名和內容的NFT釣魚網站?

前面的的文章里我們提到過該類釣魚網站主要分為三類,第一類是僅更換原官網的頂級域名,第二類是主域名添加單詞或符號進行混淆,第三類是添加二級域名進行混淆的釣魚網站。

OKX Ventures宣布投資Web3操作協議dappOS:7月28日消息,OKX Ventures宣布投資dappOS,為用戶提供一鍵操作的Web3的操作系統。dappOS是Web3操作協議,在去中心化應用dapp中真正享受如手機端app上的交互體驗。dappOS利用賬戶抽象AA和執行層網絡技術為用戶提供鏈上無縫銜接,優化用戶對web3 產品的使用,解決當前鏈上交易冗雜的問題。

基于此次戰略合作,OKX Ventures創始人Dora表示:“dappOS 抹去了多個公鏈所帶來的割裂感,用戶通過dappOS統一賬戶僅需關注資產總額,實現資產在任意鏈的任意dApp通用,滿足了web3 用戶對資產安全,簡單操作與便捷管理的需求。我們會繼續關注即將上線的dappOS V2,作為web3 全生態的公共基礎設施之一,期待將加速區塊鏈超級應用的出現。”[2023/7/28 16:04:44]

涉及到的釣魚手法主要分為三種,第一種是偽造NFT項目官網誘騙用戶直接進行轉賬的釣魚網站,第二種是使用假空投誘騙用戶授權的釣魚網站,第三種是誘騙用戶輸入錢包助記詞的釣魚網站。下面將對其釣魚手法進行詳細介紹。

1.偽造官網引誘用戶直接轉賬

該類釣魚網站主要是通過偽造NFT項目官網UI界面,誘騙用戶連接錢包之后,點擊“mint”按鈕進行鑄幣。用戶點擊之后會向虛假的項目方地址轉賬,但是并不會收到對應的NFT。具體如下圖所示:

LVMH旗下軒尼詩將推出基于NFT的Web3社交俱樂部:金色財經報道,LVMH旗下的軒尼詩正在與Friends with Benefits (FWB) DAO推出基于NFT的Web3社交俱樂部Café 11,Café 11的會員資格是以NFT的形式出現的,其中包括John P. Dessereau定制的數字藝術作品,11月4日,FWB將鑄造1,765枚Café 11 NFT,售價為450美元。(ledgerinsights.co)[2022/11/1 12:02:14]

用戶進入到釣魚網站后,會首先點擊對應的“connectwallet”按鈕,連接錢包。之后UI界面會進行刷新,出現如圖所示的“mint”按鈕。通常頁面上還會出現類似“xx用戶已經mint了xxNFT”這樣的浮動標題,主要是為了刺激用戶趕緊點擊mint。如下圖所示:

用戶如果點擊“Mint”按鈕之后,一般情況下釣魚網站為了防止自己的轉賬黑地址泄露,會首先檢測錢包余額是否為空。如果為空則不會進行交易,如果不為空才會彈出類似MetaMask的小狐貍錢包,進行交易。

加密游戲公司Cauldron完成660萬美元種子輪融資,并計劃推出web3 游戲:金色財經報道,總部位于倫敦的加密游戲公司Cauldron的創始人兼首席執行官Mark Warrick表示,該公司剛剛完成了660萬美元的種子輪融資,并計劃在秋季推出其第一個web3游戲世界Project Nightshade。[2022/7/6 1:55:14]

2.假空投誘騙用戶進行NFT授權

該類釣魚網站主要是利用假空投等手段,誘騙用戶訪問釣魚網站。在用戶連接錢包后,就會出現“CLAIMNOW”等引誘用戶進行點擊的按鈕,用戶點擊之后就會對釣魚網站的黑地址進行授權。具體如下圖所示:

之后獲得授權的釣魚網站會將用戶錢包中的NFT全部轉走,具體如下圖所示:

下面是受害者被盜取的NFT交易:

日本民主黨黨首提議修改加密稅制以推進Web3發展:5月22日消息,日本民主黨黨首玉木雄一郎近日提議修改針對加密貨幣的稅收制度,以此推進Web3發展。根據其提議,可以通過以下兩點來防止人才和企業流向海外,1.對加密貨幣實行20%的“申告分離課稅”;2.法人持有的代幣不作為期末時價評估的對象。

據悉,日本的加密貨幣稅制一直被詬病“會導致人才外流”。而歷任外務大臣和防衛大臣等職務的河野太郎也表示,為了應對Web3趨勢,“自民黨內已經開始討論稅制改革”。

此前5月10日消息,日本首相岸田文雄(Fumio Kishida)表示,與Web3相關的增長,包括與元宇宙和NFT相關的開發將成為日本未來戰略增長的一部分,并呼吁英國商界領袖支持其項目。他表示,日本政府將進行“體制改革”,以創造環境促進新服務的創建(包括與Web3相關的基礎設施),并將投資引入到科技和創新以及創企投資和數字領域。“我們將專注于區塊鏈、NFT和元宇宙等Web3的推廣。我們將實現一個可以輕松創建新服務的社會。”(Coin Post)[2022/5/22 3:33:06]

3.誘騙用戶填寫助記詞

該類釣魚網站主要是在網頁連接錢包處,或者其他位置誘騙用戶點擊,之后彈出一個偽造的網頁,提示用戶諸如“MetaMask插件版本需要升級”等信息。如果用戶相信并填寫了自己的錢包助記詞,那么用戶的私鑰就會上傳到攻擊者服務器導致用戶錢包被盜。具體如下圖所示:

Web3社區平臺Highlight完成1100萬美元種子輪融資,Haun Ventures領投:金色財經消息,Web3社區平臺Highlight完成1100萬美元的種子輪融資,Haun Ventures領投,1kx、A_Capital、SciFiVC、Floodgate、Coinbase Ventures、35Ventures、PolygonStudios、MischiefVC、DAOJones、OfflineVentures、GokulRajaram、LennyRachitsky、WME、MethodManagement、ThreeSixZero、TomWindish等參投。據悉,Highlight是專注于社區建設工具的NFT平臺,為不具備編碼或加密背景的創作者提供鑄幣工具。在Highlight上,創作者通過出售NFT來獲得獎勵和收藏品社區的訪問權限。(theblockcrypto)[2022/5/11 3:04:54]

該釣魚網站彈出如下信息,提示用戶檢測到了MetaMask的一個安全問題,需要用戶升級該錢包插件版本。如果用戶在框中輸入助記詞,則會導致錢包被盜。

注意,如上圖紅框處所示,該跳轉的釣魚頁面上網址并非是正常的域名網址,而變成了一串異常數值。用戶也可以通過對比MetaMask官網域名與該頁面異常網址識別釣魚頁面。

「必須學會的防范技巧」

一:防范簽名被盜?

目前多數網站為了保護用戶安全已經不支持盲簽的簽名方式,但是如果用戶訪問某些網站時仍然遇到盲簽的情況,請盡量拒絕簽署。本文主要討論以下兩種非盲簽的情況下,用戶如何防范釣魚。

1.用戶簽署交易時需要確認簽署的內容

如上圖所示,用戶簽署授權時主要是對紅框部分的服務條款進行簽名,包括:提示用戶如果點擊“Sign”按鈕則代表接受網站的服務條款,這個請求不會發起交易或者消耗gas費,并且該授權狀態將在24小時后重置等。以及包括簽署簽名的用戶地址、Nonce值等。

2.用戶在進行交易簽名前,應進行多方信息交叉驗證,確保發起交易的網站是真官網。

二:防范高仿域名和內容的NFT釣魚網站?

此前文章我們介紹了三種高仿域名和內容的NFT釣魚網站,其中第三種是直接誘騙用戶輸入助記詞。針對該類網站,用戶只需記住任何要求輸入助記詞的網頁都是不安全的即可。本文主要介紹其他兩種釣魚網站的相關防范措施:

1.偽造官網引誘用戶直接轉賬

這類的釣魚網站通常域名和內容都跟原項目官網十分相似,用戶在訪問時需特別注意識別官網。

1)一般在訪問NFT官網時,首頁通常有官方社交媒體賬號,如:twitter、discord等。

目前很多NFT官方網站都不會直接提供“mint”功能,或將更多數量的NFT放到了諸如Opensea之類的交易所上進行售賣,如下圖所示:

同時,一般在NFT項目官網底部都會列舉出官網社交賬號,下圖紅框處從左往右依次是:Discord、twitter、traitsniper、opensea。

用戶可以訪問這些社交賬號,首先識別其賬號是否是官方賬號,通常直接在twitter上搜索項目名稱可以發現官方賬號,如果存在同名的情況那么注意篩選出關注人數較多的賬號,具體如下圖所示:

上圖中顯示的第一個紅框就是NFT項目對應的官網,任何其他的網址都是釣魚網站;第二個紅框是該項目在其他平臺上的官方鏈接,如:Opensea交易所等;第三個紅框是關注的人數,從人數上也可以對官方賬號進行篩選,當然也需要警惕釣魚大號,最好是進行信息交叉驗證,保證自己訪問的是官網。

2)假空投誘騙用戶進行NFT授權

攻擊者通常會通過Discord等社交賬號發布假空投的釣魚鏈接,這一類的釣魚網站往往難以識別真假,本文提出以下幾點建議希望幫助用戶減少損失。

a.資產隔離

在進行這類危險交易時,可以采用資產隔離的方式進行,通常包括以下幾種類型:

錢包隔離:用戶可以將錢包根據用途分為兩類,第一類用于存儲資產,包括一些大額資產等,該類資產可以使用冷錢包存儲提高安全性;第二類用于資產交易,尤其是在進行諸如領取空投這樣的危險交易時,可以使用一些臨時錢包。臨時性的錢包包括:使用MetaMask之類的錢包重新創建一個地址里面存儲很少的錢;或一些網絡錢包如:BurnerWallet等,該錢包可以通過在網頁上簡單地設置轉賬的參數,如:轉賬地址、金額等,就可以生成一個臨時性的小額交易二維碼,如下圖所示:

交易媒介隔離:通常指的是用戶在交易時使用的PC、瀏覽器等,可以在進行一些可能存在的危險交易時使用不同的PC,或者使用不同的瀏覽器。

b.使用項目方智能合約進行mint()

上文提到有很多騙局在推廣免費空投領取時,“mint”按鈕實際上觸發的是請求用戶簽名的操作,一旦點擊將會批準釣魚網站轉移用戶的NFT。所以如果能夠確定領取空投的合約地址,直接調用智能合約里的mint()方法是更安全的方式,下圖是某NFT的合約:

如上圖所示,首先點擊“contract”,之后選擇“WriteContract”頁簽,接下來需要點擊“ConnecttoWeb3”按鈕,連接錢包。如下圖所示:

接著點擊mint()方法,設置mint需要的NFT數量和金額,點擊“Write”按鈕即可。這種方式因為是直接調用的合約方法,所以不存在被釣魚網站盜用簽名的情況。但是,用戶在調用NFT合約時需注意同樣需要交叉驗證項目合約的地址,避免被釣魚合約誘導受騙。

c.確認消息源

如果用戶收到領取空投的釣魚網站鏈接,首先需要確認信息源,一般可以在官方twitter等社交賬號上確認下有沒有發布的空投消息。如果沒有的話,請不要隨意點擊其他渠道上發布的空投鏈接。

Tags:NFTWEBWEB3INTSwiss NFT FundWEBN幣web3域名哪里注冊INTER價格

ICP
區塊鏈:金色觀察 | 加密熊市的不同階段與市場選擇_比特幣價格今日行情

數據顯示,在由全球股票構成的MSCI的代表性指數中占4成的19個國家和地區的股市比近期高點下跌2成以上。以47個主要國家為對象的MSCI所有國家世界指數截至6月17日跌至702.8點.

1900/1/1 0:00:00
CARD:瘋狂的數字藏品 是泡沫還是未來?_比特幣

2021年以來,全球NFT市場持續火爆,天價NFT作品屢見不鮮,各路名人大咖、企業機構紛紛入局。而數字藏品在國內也是“忽如一夜春風來”,呈現遍地開花之勢.

1900/1/1 0:00:00
ANC:挪用22,000ETH、4年推10個垃圾項目 麻吉大割黃立成加密往事_NCE

6月16日晚間,國際幣圈KOL黃立成遭到知名KOLZachXBT長文分析爆料,其懷疑麻吉大哥與超過10個割韭菜項目有關聯,并提出其所搜集到的證據.

1900/1/1 0:00:00
MAG:金色觀察 | Magic Eden 的傳奇發展史_MEMAG

2022年2月,Magic?Eden面臨危機。幾個月前,在啟動Solana這個快速增長的?NFT市場后,它當時正在處理一項嚴重事故:其平臺上第一個重大的跑路事件.

1900/1/1 0:00:00
STAR:金色觀察 | StarkWare?推出StarkEx V4.5 速覽新特性_ARK

重點 ??StarkEx4.5版本來了!??Volition:允許用戶為他們的每項資產選擇他們想要使用的數據可用性模式:Rollup或Validium??支持ERC-1155??交易捆綁——執行.

1900/1/1 0:00:00
區塊鏈:Hodlnaut可能因Terra崩盤造成巨大的未披露損失_HOD

金色財經報道,DirtyBubbleMedia發文稱,加密借貸平臺Hodlnaut在Terra協議崩盤后似乎承受了巨大損失.

1900/1/1 0:00:00
ads