작성자: 리듬 연구소, NFT Labs

Crypto의 세계는 어두운 숲과 같으며, 당신의 주변에는 수많은 위기가 도사리고 있을 수 있습니다. 며칠 전 해커가 OpenSea 컨트랙트 업그레이드를 악용해 모든 사용자의 사서함으로 피싱 메일을 보냈고, 많은 사용자가 이를 공식 메일로 착각해 지갑을 인증해 지갑을 도난당하는 일이 발생했다. 통계에 따르면 이 이메일은 최소 3개의 BAYC, 37개의 Azuki, 25개의 NFT Worlds 및 기타 NFT를 도난당했으며, 하한가 기준으로 해커의 수입은 최대 416만 달러에 달했습니다.

그리고 바로 오늘 Jay Chou가 보유한 MAYC 1개와 Doodles 2개가 차례로 도난당했으며, 최상위 NFT 프로젝트 BAYC와 Doodles의 Discord 커뮤니티가 동시에 해킹되었으며 해커에 의한 손실은 아직 확인되지 않았습니다.

오늘날 우리가 경계해야 할 해커 공격은 기술 수준뿐만 아니라 사회 공학에서 비롯됩니다.또한 많은 NFT 프로젝트의 가격이 상승했으며 조심하지 않으면 엄청난 양의 손실을 입을 것입니다. 자산. 최근 NFT 분야에서 사기가 빈번하게 발생하고 있는 점을 감안하여 Rhythm은 몇 가지 일반적인 사기 방법을 요약했으며 독자들이 항상 경계하고 속지 않기를 바랍니다.

사기:

1. Discord 개인 메시지를 통한 사기 웹사이트 링크

Discord 개인 메시지 링크는 해커가 속이는 일반적인 방법입니다. 해커는 종종 다른 Discord 커뮤니티를 통해 회원에게 개인 메시지를 일괄적으로 보내거나 문제 해결을 돕는다는 이유로 개인 메시지 사용자에게 커뮤니티 관리자인 것처럼 가장하고 지갑 개인 키를 사취합니다. . 또는 사용자에게 NFT를 무료로 받을 수 있다고 알리는 가짜 피싱 웹사이트를 보내십시오. 사용자가 해커가 복사한 가짜 웹사이트를 인증하면 사용자에게 막대한 손실을 입힐 것입니다.

2. Discord 서버 공격

Discord 서버 해킹은 거의 모든 인기 NFT 프로젝트에서 경험하게 될 것입니다.해커는 서버 관리자의 계정을 공격한 다음 서버의 다양한 채널에 가짜 공지를 게시하여 커뮤니티 구성원을 속여 가짜 웹 사이트로 이동하도록 합니다. 해커가 오랫동안 구축해 온 가짜 NFT. 오늘날의 해커들은 사기성 웹사이트 등을 전송하여 서버 관리자의 토큰을 사취하므로 관리자가 2FA 이중 인증을 켜도 도움이 되지 않습니다. 그리고 해커가 만든 사기성 웹사이트가 사용자 지갑의 승인을 요구한다면 사용자에게 더 심각한 재산 손실을 가져올 것입니다.

3. 가짜 거래 링크 보내기

이러한 유형의 속임수는 사기꾼이 사용자와 개인적으로 협상하는 NFT 거래 프로세스에서 일반적입니다. Sudoswap 및 NFTtrader와 같은 거래 플랫폼은 사용자가 개인 협상을 통해 서로의 NFT 또는 토큰을 "교환"하도록 권장하며 이러한 플랫폼은 개인 협상 거래에 대한 보안도 제공합니다. 이것은 NFT 시장에 좋은 일이지만 이제 일부 해커가 가짜 Sudoswap 및 NFTtrader 웹사이트를 통한 사기.

Sudoswap과 NFTtrader는 협상이 완료된 후 사용자가 거래를 시작하도록 요구합니다.이 단계는 주문 확인 웹 사이트를 생성하고 거래는 양 당사자의 확인 후 스마트 계약을 통해 자동으로 수행됩니다. 처음에 사기꾼은 교환할 NFT를 협상하는 것처럼 가장하고 먼저 실제 웹사이트 링크를 보여준 다음 거래 수정을 제안합니다.거래자가 경계를 완화한 후 사기꾼은 사기성 링크를 보냅니다.후 사용자가 거래를 확인하기 위해 클릭하면 지갑의 해당 NFT가 사기꾼의 지갑으로 전송됩니다.

4. 치트 니모닉 단어

사기꾼은 사기성 웹 사이트 구축, 사용자를 돕기 위해 관리자 인 척하는 등 다양한 방법을 사용하여 사용자가 개인 키 또는 니모닉 단어를 자신에게 보내도록 유도합니다. 이러한 모든 행동은 사용자의 경계를 줄이고 기다리는 것입니다. 개인 키와 니모닉을 사취할 수 있는 기회.

5. 가짜 컬렉션을 만들고 프로젝트의 Discord 공개 채널에서 거래를 추구합니다.

가짜 NFT 컬렉션은 많은 인기 상품이 출시되기 전에 가장 쉽게 접할 수 있습니다. NFT 블라인드 박스가 정식 출시되기 전에 사기꾼들은 OpenSea와 같은 NFT 거래 플랫폼에 비슷한 이름의 NFT 컬렉션을 미리 업로드하고 사전에 공개된 공식 정보를 통해 이 컬렉션을 아름답게 "장식"합니다. 실제 NFT 컬렉션이 온라인 상태가 아닌 경우 사용자는 먼저 가장 가까운 이름의 컬렉션을 검색합니다. 일부 사기꾼은 사용자에게 몇 건의 추가 거래를 생성할 것이라고 확신시키기 위해 현재 주문 대기 중인 가짜 NFT에 제안 입찰을 보냅니다.

플랫폼과 프로젝트 측의 로열티를 절약하기 위해 커뮤니티 회원들 사이에서 개인 거래가 이루어집니다 위에서 언급한 Sudoswap 및 NFTtrader 웹 사이트를 모방하는 것 외에도 바닥 가격보다 약간 낮은 가짜 자금을 보내는 사기꾼도 있습니다 커뮤니티 채널에서 NFT 수집 링크. 사용자는 가격 하한선 이하로 급히 NFT를 구매할 때 NFT의 진위를 무시함으로써 속는 경우가 많습니다.

6. 가짜 이메일

대부분의 NFT 플랫폼은 사용자가 자신의 NFT 거래 상태를 처음에 알 수 있도록 사서함을 바인딩해야 하므로 사서함도 사기가 모이는 장소가 되었습니다. 사기꾼은 일반적으로 OpenSea 플랫폼의 공식 계정인 것처럼 가장하고 계약 주소를 수정하거나 지갑을 다시 확인해야 하는 방식으로 피싱 웹 사이트 링크를 사용자에게 보냅니다. 최근 OpenSea가 계약 업그레이드를 발표한 후 해커는 이러한 방식으로 거의 400만 달러의 사용자를 사취했습니다. 작성일 현재 OpenSea 팀은 여전히 ​​손상된 사용자 문제를 해결하고 있습니다.

사기 방지 가이드

1. URL 심사

해커가 어떤 멋진 패키징을 사용하고 언어 설명이 얼마나 혼란스럽더라도 마침내 암호화된 자산을 훔칠 때 그는 항상 지갑과 상호 작용할 방법이 필요합니다. 일반 사용자는 계약 위험을 식별할 수 있는 능력이 없을 수 있지만 다행스럽게도 우리는 여전히 web2가 지배하는 인터넷 세계에 있습니다. 거의 모든 암호화된 계약은 사용자와 상호 작용하기 위해 web2 프런트 엔드 웹 페이지가 필요합니다.

따라서 (프로젝트 당사자가 아닌) 사용자를 위한 거의 대부분의 암호화된 자산 절도는 위조 피싱 웹사이트에서 발생합니다. 그리고 피싱 웹사이트를 식별하는 방법을 이해하면 암호화된 자산 도용의 99%를 방지하는 데 충분할 것입니다.

스마트폰과 함께 성장한 Z세대는 하나하나 앱이 만들어가는 '생태' 속에서 살아가며 웹페이지의 낡은 것을 소홀히 했을지도 모릅니다. web2 시대에 DNS 도메인 이름 시스템은 전체 네트워크에서 각 웹 사이트에 고유한 ID를 부여합니다.도메인 이름 구성의 기본 규칙을 알면 거의 모든 가짜 피싱 웹 사이트를 처리할 수 있습니다.

전통적인 DNS 도메인 이름에서 도메인 이름 계층 구조는 세 가지 수준으로 나뉩니다. 첫 번째 구분 기호(/)부터 시작하여 오른쪽에서 왼쪽으로 읽으면 각 마침표가 수준을 구분합니다. https://www.opensea.io/를 예로 들면 ".io"는 최상위 도메인 이름이라고 하는 ".com" 및 ".cn"과 유사하며 이 필드는 사용자 정의할 수 없습니다. "opensea"는 두 번째 수준의 도메인 이름, 즉 도메인 이름의 주체라고 하며 이 필드는 동일한 최상위 도메인 이름(예: .io) 아래에 반복될 수 없습니다. "www" 부분은 3단계 도메인 이름으로 웹사이트 운영자가 직접 이 필드를 설정할 수 있습니다. 운영자도 "www" 앞에 계속해서 4단계 도메인 이름과 5단계 도메인 이름을 추가할 수 있습니다.

도메인 이름의 계층적 순서는 직관적이지 않습니다. 오른쪽에서 왼쪽으로 갈수록 계층이 줄어듭니다. 이 디자인은 대부분의 사람들의 독서 습관과 정반대이며 공격자에게 기회를 주기도 합니다. 예를 들어 https://www.opensea.io.example.com 주소는 opensea 주소와 매우 유사하지만 실제 도메인 이름은 "opensea.io"가 아닌 "example.com"입니다.

Web3에 대한 피싱 공격이 있을지 여부는 여전히 예측하기 어렵습니다. 그러나 Web2 세계에서 DNS 도메인 이름 시스템은 도메인 이름(또는 URL)의 고유성을 보장하며 도메인 이름이 사실일 때 사용자가 가짜 웹 사이트를 여는 것은 거의 불가능합니다.

2. 개인 키 또는 니모닉 단어를 공개하지 마십시오.

암호화폐 지갑은 Web2의 이메일 및 기타 계정과 다릅니다. 개인 키와 니모닉은 수정하거나 검색할 수 없습니다. 일단 유출되면 지갑은 귀하와 해커에게 동시에 귀속됩니다. 귀하의 지갑에 있는 모든 자산은 언제든지 해커에 의해 전송될 수 있으며 이더리움 주소의 익명성으로 인해 해커가 누구인지 알 수 없으며 당연히 손실을 복구할 수 없으며 이 지갑은 더 이상 사용할 수 없습니다.

3. 적시에 지갑 승인 취소

사기 웹사이트에서 지갑을 승인한 경우 다음 세 주소로 이동하여 지갑 승인 상태를 확인하고 적시에 취소할 수 있습니다.

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/

https://debank.com/