Viết bởi: Viện Nghiên cứu Nhịp điệu, Phòng thí nghiệm NFT

Thế giới Crypto giống như một khu rừng tối tăm, và có thể có vô số khủng hoảng đang rình rập xung quanh bạn. Cách đây vài ngày, một hacker đã lợi dụng việc nâng cấp hợp đồng OpenSea để gửi email lừa đảo đến hộp thư của tất cả người dùng và nhiều người dùng đã nhầm đó là email chính thức và ủy quyền cho ví của họ, dẫn đến ví bị đánh cắp. Theo thống kê, email này đã khiến ít nhất 3 BAYC, 37 Azuki, 25 NFT Worlds và các NFT khác bị đánh cắp, tính theo giá sàn, thu nhập của hacker đã lên tới 4,16 triệu đô la Mỹ.

Và chỉ trong ngày hôm nay, một MAYC và hai Doodles do Jay Chou nắm giữ đã lần lượt bị đánh cắp; dự án NFT hàng đầu BAYC và cộng đồng Doodles của Discord đã bị tấn công cùng lúc và thiệt hại do tin tặc gây ra vẫn chưa được xác định.

Ngày nay, các cuộc tấn công của tin tặc mà chúng ta cần đề phòng không chỉ tồn tại ở cấp độ kỹ thuật mà còn đến từ kỹ thuật xã hội Ngoài ra, giá của nhiều dự án NFT đã tăng lên, và nếu không cẩn thận, chúng ta sẽ mất một lượng lớn tài sản tài sản. Trước tình trạng lừa đảo xảy ra thường xuyên trong lĩnh vực NFT thời gian gần đây, Rhythm đã tổng hợp một số kiểu phương thức lừa đảo phổ biến, mong bạn đọc luôn cảnh giác và không để bị lừa.

Gian lận:

1. Liên kết trang web lừa đảo qua tin nhắn riêng Discord

Các liên kết tin nhắn riêng tư Discord là một phương pháp đánh lừa phổ biến của tin tặc. Tin tặc thường gửi tin nhắn riêng tư theo đợt cho các thành viên thông qua các cộng đồng Discord khác nhau hoặc giả làm quản trị viên cộng đồng cho người dùng tin nhắn riêng tư với lý do giúp giải quyết vấn đề và lừa đảo các khóa riêng tư của ví . Hoặc gửi một trang web lừa đảo giả mạo, nói với người dùng rằng họ có thể nhận được NFT miễn phí, v.v. Một khi người dùng ủy quyền cho trang web giả mạo do tin tặc sao chép, nó sẽ mang lại tổn thất lớn cho người dùng.

2. Tấn công máy chủ Discord

Việc hack máy chủ Discord là điều mà hầu hết mọi dự án NFT phổ biến đều sẽ gặp phải. Tin tặc sẽ tấn công tài khoản của quản trị viên máy chủ, sau đó đăng thông báo giả mạo trên nhiều kênh khác nhau của máy chủ, lừa các thành viên cộng đồng truy cập trang web giả mạo mà hacker đã xây dựng trong một thời gian dài.NFTs giả mạo. Tin tặc ngày nay sẽ lừa đảo mã thông báo của quản trị viên máy chủ bằng cách gửi các trang web lừa đảo, v.v., vì vậy ngay cả khi quản trị viên bật xác thực hai yếu tố 2FA, điều đó cũng chẳng ích gì. Và nếu trang web lừa đảo do tin tặc xây dựng sẽ yêu cầu ủy quyền ví của người dùng, nó sẽ gây ra thiệt hại tài sản nghiêm trọng hơn cho người dùng.

3. Gửi link giao dịch giả mạo

Kiểu lừa đảo này phổ biến trong quy trình giao dịch NFT, trong đó những kẻ lừa đảo thương lượng riêng với người dùng. Các nền tảng giao dịch như Sudoswap và NFTtrader khuyến khích người dùng "trao đổi" NFT hoặc mã thông báo của nhau thông qua các cuộc đàm phán riêng tư và các nền tảng này cũng cung cấp bảo mật cho các giao dịch được đàm phán riêng tư. Đây là một điều tốt cho thị trường NFT, nhưng Hiện tại một số tin tặc đã bắt đầu lừa đảo thông qua các trang web Sudoswap và NFTtrader giả mạo.

Sudoswap và NFTtrader yêu cầu người dùng bắt đầu giao dịch sau khi đàm phán xong, bước này sẽ tạo ra một trang web xác nhận đơn hàng và giao dịch sẽ được tự động thực hiện thông qua hợp đồng thông minh sau khi được cả hai bên xác nhận. Lúc đầu, kẻ lừa đảo sẽ giả vờ đàm phán với bạn về việc trao đổi NFT nào, và trước tiên cho bạn xem một liên kết trang web thực, sau đó đề xuất sửa đổi giao dịch. Sau khi người giao dịch mất cảnh giác, kẻ lừa đảo sẽ gửi một liên kết lừa đảo. Sau đó người dùng nhấp để xác nhận giao dịch, NFT tương ứng trong ví sẽ được gửi đến ví của kẻ lừa đảo.

4. Ăn gian từ ghi nhớ

Kẻ lừa đảo sẽ sử dụng nhiều cách khác nhau để dụ người dùng gửi khóa cá nhân hoặc từ ngữ dễ nhớ cho mình như lập trang web lừa đảo, giả làm quản trị viên để giúp đỡ người dùng, v.v. Tất cả những hành vi này nhằm làm giảm sự cảnh giác của người dùng và chờ đợi cơ hội để đánh lừa các khóa riêng tư và khả năng ghi nhớ.

5. Tạo Bộ sưu tập giả và tìm kiếm giao dịch trong kênh công khai Discord của dự án

Bộ sưu tập NFT giả là thứ dễ bắt gặp nhất trước khi nhiều mặt hàng phổ biến được tung ra thị trường. Trước khi hộp mù NFT chính thức ra mắt, những kẻ lừa đảo sẽ tải lên trước các bộ sưu tập NFT có tên tương tự trên các nền tảng giao dịch NFT như OpenSea và "trang trí" bộ sưu tập này thật đẹp mắt thông qua thông tin chính thức được công bố trước. Khi bộ sưu tập NFT thực không trực tuyến, trước tiên người dùng sẽ tìm kiếm bộ sưu tập có tên gần nhất. Một số kẻ lừa đảo gửi giá thầu Ưu đãi đến các NFT giả hiện đang chờ đơn đặt hàng để thuyết phục người dùng rằng họ sẽ tạo thêm một số giao dịch.

Để tiết kiệm tiền bản quyền của nền tảng và phía dự án, các giao dịch riêng tư sẽ được tiến hành giữa các thành viên trong cộng đồng. Ngoài các trang web Sudoswap và NFTtrader giả mạo đã đề cập ở trên, còn có những kẻ lừa đảo gửi tiền giả thấp hơn một chút so với giá sàn trên kênh cộng đồng.liên kết bộ sưu tập NFT. Người dùng thường bị lừa bằng cách bỏ qua tính xác thực của NFT khi đổ xô mua NFT dưới giá sàn.

6. Email giả mạo

Hầu hết các nền tảng NFT đều yêu cầu người dùng liên kết hộp thư của họ để người dùng có thể biết trạng thái giao dịch của NFT của họ ngay lần đầu tiên, vì vậy hộp thư cũng trở thành nơi tụ tập của gian lận. Những kẻ lừa đảo thường giả vờ là tài khoản chính thức của nền tảng OpenSea và gửi các liên kết trang web lừa đảo tới người dùng theo những cách như địa chỉ hợp đồng cần được sửa đổi hoặc ví tiền cần được xác minh lại. Gần đây, sau khi OpenSea công bố nâng cấp hợp đồng, tin tặc đã lừa đảo người dùng gần 4 triệu USD theo cách này. Tính đến ngày viết bài, nhóm OpenSea vẫn đang khắc phục sự cố cho những người dùng bị xâm nhập.

Hướng dẫn chống lừa đảo

1. Sàng lọc URL

Bất kể tin tặc sử dụng bao bì cầu kỳ nào và mô tả ngôn ngữ khó hiểu như thế nào, cuối cùng khi đánh cắp tài sản mã hóa của bạn, hắn luôn cần một cách để tương tác với ví của bạn. Người dùng thông thường có thể không có khả năng xác định rủi ro hợp đồng, nhưng may mắn thay, chúng ta vẫn đang ở trong một thế giới Internet bị thống trị bởi web2. Hầu như tất cả các hợp đồng được mã hóa đều cần một trang web giao diện người dùng web2 để tương tác với người dùng.

Do đó, gần như phần lớn hành vi trộm cắp tài sản mã hóa đối với người dùng (chứ không phải bên dự án) xảy ra trên các trang web lừa đảo giả mạo. Và một khi bạn hiểu cách xác định các trang web lừa đảo, nó sẽ đủ để giúp bạn tránh được 99% hành vi trộm cắp tài sản mã hóa.

Đối với thế hệ Z lớn lên cùng smartphone, họ sống trong “hệ sinh thái” được tạo ra bởi hết ứng dụng này đến ứng dụng khác và có thể đã bỏ quên những thứ xưa cũ của các trang web. Trong thời đại web2, hệ thống tên miền DNS cung cấp cho mỗi trang web một danh tính duy nhất trên toàn bộ mạng, việc biết các quy tắc cơ bản về thành phần tên miền sẽ đủ để đối phó với hầu hết tất cả các trang web lừa đảo giả mạo.

Trong tên miền DNS truyền thống, hệ thống phân cấp tên miền được chia thành ba cấp độ. Đọc từ phải sang trái bắt đầu từ dấu phân cách thứ nhất (/), mỗi tiết cách nhau một bậc. Lấy https://www.opensea.io/ làm ví dụ. ".io" tương tự như ".com" và ".cn", được gọi là tên miền cấp cao nhất và trường này không thể được tùy chỉnh. "opensea" được gọi là tên miền cấp hai, nghĩa là chủ đề của tên miền và trường này không được lặp lại trong cùng một tên miền cấp cao nhất (chẳng hạn như .io). Phần "www" là một tên miền cấp ba và người điều hành trang web có thể tự đặt trường này. Thậm chí, các nhà mạng có thể tiếp tục thêm tên miền cấp 4 và tên miền cấp 5 trước “www”.

Thứ tự phân cấp của các tên miền là phản trực giác: từ phải sang trái, thứ bậc giảm dần. Thiết kế này hoàn toàn trái ngược với thói quen đọc của hầu hết mọi người và nó cũng tạo cơ hội cho những kẻ tấn công. Ví dụ: mặc dù địa chỉ https://www.opensea.io.example.com rất giống với địa chỉ opensea, tên miền thực của nó là "example.com" thay vì "opensea.io".

Vẫn còn khó dự đoán liệu sẽ có các cuộc tấn công lừa đảo trên Web3 hay không. Nhưng trong thế giới Web2, hệ thống tên miền DNS đảm bảo tính duy nhất của tên miền (hoặc URL) và người dùng gần như không thể mở trang web giả mạo khi tên miền là thật.

2. Không tiết lộ khóa cá nhân hoặc từ ghi nhớ

Ví tiền điện tử không giống như e-mail của Web2 và các tài khoản khác. Không thể sửa đổi hoặc truy xuất khóa riêng tư và ghi nhớ. Một khi bị rò rỉ, điều đó có nghĩa là ví sẽ đồng thời thuộc về bạn và kẻ tấn công. Tất cả tài sản trong ví của bạn có thể bị tin tặc chuyển đi bất cứ lúc nào và do tính ẩn danh của địa chỉ Ethereum, bạn không thể tìm ra ai là tin tặc và đương nhiên, tổn thất không thể lấy lại được và ví này không thể sử dụng được nữa.

3. Hủy ủy quyền ví kịp thời

Nếu bạn đã ủy quyền ví của mình trên một trang web lừa đảo, bạn có thể truy cập ba địa chỉ sau để kiểm tra trạng thái ủy quyền ví và hủy bỏ kịp thời:

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/

https://debank.com/