随着 NFT 用户数、交易量和市值的不断攀升,钓鱼者、黑客等不法分子也开始瞄准这个市场,进一步威胁 NFT 生态的安全。
区块链安全和数据分析公司 PeckShield 编写的表格显示,在一次钓鱼攻击中,254 个总价值约为 170 万美元的 NFT 遭到盗窃;愚人节当天周杰伦的 NFT BAYC#3738 被盗走,该事件是典型的由钓鱼网站诱导 mint 从而获得用户 NFT 操作权的案例;一个名为 MoonManNFT 的项目,该项目借由 free mint 的名头,盗走了近 400 个 NFT……
一般来说,黑客会通过 Discord 和 Telegram 锁定收藏者,并通过诱导 mint、钓鱼攻击等方式盗走用户的 NFT 资产。随着当下技术发展,NFT 投资者和收藏者必须及时了解保护资产的最新方法。
NFT 安全存储基本知识
请牢记:
你的 NFT 并非储存在电脑或移动设备上,而是在 IPFS 或 Arweave 这样的去中心化空间。
拥有私钥,就有了对区块链 / 你的资产的完全访问权限。
Shamir 私钥分割方案能为助记词提供二级保护。
1. 你的 NFT 储存在哪里?
NFT 并非储存在冷钱包、PC 端或热钱包中。NFT 是位于以太坊区块链上的代币,由全球 2400 多个运行中的网络节点承载。NFT 受到完全去中心化系统的支持,它能确保 NFT 生态正常运转,也能够验证线上交易。当你进行 NFT 交易时,实际发生的活动是数据库对该 NFT 的地址进行更改。
2. 你的图片、动图和音乐在哪里?
NFT 的 URI(统一资源标识符)标记了图片的位置。NFT 一般位于像 IPFS 或 Arweave 等去中心化存储空间。在 Web2 中,也有 AWS 这样的中心化存储器。
3. 钱包
钱包是一个储存私钥的软件,能够支持交易活动。钱包分为两种:热钱包(软件钱包)和冷钱包(硬件钱包)。
热钱包(软件钱包):能够在通用设备上运行的软件,能 Web3 连接,只需点击鼠标就能接收资产。
冷钱包(硬件钱包):专用于硬件设备,能与 Web3 连接并接收资产。它与热钱包的主要区别是,冷钱包的助记词从不联网,若要进行交易,必须通过物理手段(比如触摸屏)批准。
选择了合适的钱包后,你需要了解它的功能:
首先,热钱包 / 冷钱包会要求你创建一个密码,此密码在特定设备上是唯一的。只有知道密码,才能访问钱包。
你可以自由分享钱包的公共地址,此地址与 Web3 的电子邮件地址没有区别,知道了你的地址,任何人都能向你发送 NFT。这也就催生了新的黑客攻击载体。黑客会向人们发送 NFT,当人们与该 NFT 互动时(比如将其发送至另一钱包,或出售它),黑客就会窃取此人钱包中的资产。请谨记,不要点开陌生 NFT!此外,人们也会利用流氓签名或批准来获取你的 IP 地址。
钓鱼邮件也是寻常的诈骗方式。邮件的目的是引诱你把钱包连接到虚假网站,以便黑客窃取资产。所以,千万不要点开陌生链接!务必时时检查网站名称。目前黑客攻击的方法比较单一,只能从公共地址和电子邮件下手,只要不理会它们就可以了。
你要保管好私钥,它是访问你的公共地址的密码,私钥的功能有:
(1)将你的 NFT 移出地址。
(2)签署合同,来证明你拥有该地址的私钥(类似于验证你拥有该公共地址)。
公共地址和私钥最大的区别是,你永远也不能向任何人透露自己的私钥。否则,他们就能把你的私钥导入他们的钱包,窃取你所有的资产。
明确了私钥和公共地址的概念,我们再来看一下助记词。助记词一般由 12、18 或 24 个单词构成,用于找回钱包。如果丢失私钥,你可以使用助记词新建一个。与私钥一样,助记词永远不能被第二个人知道,也不能存储在电子存储设备或服务商中(比如 google drive、icloud、相簿、手机便签和副本)。最理想的方式是物理存储,比如写在纸上。有人也使用铁制品存储助记词,因为它更加防火。其他方式,例如口令,也能增加钱包安全性。口令是一串符号或单词,将其与助记词结合,就能在原有钱包的基础上创建新钱包。打个比方,若要在原有钱包的基础上创建新的钱包,只需输入:
助记词 + 「NFTGo」
助记词 + 任意数字
助记词 + 任意字母
助记词 + 任意短语
上述任一方式都能创建一个具有不同私钥公共地址的新钱包,但口令这一功能只对冷钱包适用。
4. 添加第二层保护
购买冷钱包是提升安全性的有效途径。Trezor,Ledger 和 Keystone 是几款最受欢迎的硬件钱包,但各自有优势和不足。每种冷钱包都有其特色。比如 Keystone 使用二维码进行数据传输,避免了木马病毒通过 USB 接口或者蓝牙被传输到硬件钱包的风险,同时也是首个支持 ENS (Ethereum Name Service) 的硬件钱包,免去了核对原始地址的麻烦。此外,用户可以用 NFT 自定义其 4 英寸的屏幕。
我们以 Keystone 为例进行设置。
(1)从官方网站购买 Keystone 钱包。
(2)安装 Keystone 套件。
(3)启动 Keystone。
(4)设置你钱包的 PIN—— 专属于此设备的口令。
(5)如果是企业使用的话,推荐使用 Shamir 私钥分割方案,把 2 组助记词分成 3 组,或把 3 组助记词分成 5 组,你可以把这 3 组私钥保存在不同地方。如果你有 5 个 Shamir 备份中的 3 个并且丢失了其中 2 个,你仍然可以使用剩余的 3 个备份来恢复您的钱包。
我们以转移一个 BAYC 为例具体来看 NFT 硬件钱包的使用。在 Keystone 中,用户可以使用 microSD 卡中上传的 ABI 数据文件快速确认地址的真实性,地址旁边会出现蓝色字体的「Board Ape Yacht club」,还需要确认该交易是否涉及任何恶意行为,以免将您的 NFT 签署给诈骗者或黑客。
避免 NFT 诈骗的方法
1. 务必从官网下载 Web3 app 或钱包
导致加密 / NFT 黑客攻击的主要原因是用户对非官方网站的访问。绝大多数此类网站是为了行骗而建立,看上去与官方网站极其相似。不要从 Google Play 下载 Web3 app,它们可能不是从原始渠道获取的。你可以参考以下建议,来鉴别官方网站:
(1)关注网址栏。只点击以 https:// 开头的网址(不要点 http://!),「s」代表「安全」,表示该网站的数据是加密传输的,能阻止黑客攻击。
(2)检查域名。黑客最青睐的伎俩就是创建山寨网站,其域名与正版网站十分相似,只有双击才能察觉区别。例如,https://wobble.com 这个网站的山寨版可以是 https://w0oble.com。请记得时时双击域名的所有字母。
(3)留心拼写错误。多数虚假网站是粗糙赶工而成,拼写、读音、大小写和语法都会出错。
2. 只浏览官方频道、官方推特和官方链接
前面提到,你只能相信官方网站、推特账号和 discord。你可以参考下列建议来验证:
(1)检查账户活动。
(2)检查粉丝数。
(3)检查账户历史。
(4)检查评论和参与度。
3. 不要与任何人共享登陆凭证或私钥
有句话在加密圈十分流行:「无钥即无币,币钥为一体」。一旦你的私钥或助记词被分享出去,这个账户就再也不属于你了。最好的做法,是不让其他人拿到私钥。
4. 先验证 NFT 再购买
在 NFT 生态系统中,尽职调查总是非常重要。购买或铸造 NFT 之前,务必要检查项目涉及到的团队的声誉,其社区中的有机互动,以及人们对该项目的看法。
5. 使用多个钱包铸造 NFT
比如,Burner 钱包是专为 NFT 铸造创造的二级钱包。这些钱包都是以铸币所需的 gas 数额来创建并注资。铸币完成后,铸成的 NFT 被发送到另一个钱包,它的作用是存储 NFT。这就减少了主钱包与易被攻击网站互动的风险。你可以创建多个 burner 钱包,一旦发现漏洞,就立即丢弃它。
6. 谨慎点击陌生账户的链接
黑客的常见骗术,是通过陌生的 Discord 账户或冷邮件发送赠品或白名单链接。务必将 Telegram、Discord 和邮件设置为不接收陌生账户或非官方地址的消息,也请提防用户假扮群主或官方 DM 你。
7. 检查令牌批准 撤销不使用的令牌
人们每天都与不同的协议和链接互动,基于智能合约上的信息给予其访问权限和许可。时常审查和撤销访问权限十分重要。https://revoke.cash/ 网站可以帮您取消访问权。
8. 进行下一步之前,仔细阅读并核实智能合约的交易条款
确认交易前,务必确保自己认真阅读了智能合约中的每个细节。很多黑客利用智能合约骗取许可,从而随意访问你钱包中的资金。你要认真阅读,确保合约中的细节不会构成威胁,也不是存在漏洞。
9. 紧跟新闻,了解新漏洞
结语
人们对 NFT 市场的兴趣日益增加,不法分子也潜伏其中,利用伎俩从收藏者和投资者手中偷取作品和资金,请确保自己的宝贵资产、钱包和资金不落入黑客手中。
