คู่มือป้องกันการโจรกรรม NFT: เหตุการณ์การโจรกรรม NFT เกิดขึ้นบ่อยครั้ง จะป้องกันการโจมตีของแ

เขียนโดย: Rhythm Research Institute, NFT Labs

โลกของ Crypto เป็นเหมือนป่าที่มืดมิด และอาจมีวิกฤตนับไม่ถ้วนที่ซุ่มซ่อนอยู่รอบตัวคุณ ไม่กี่วันที่ผ่านมา แฮ็กเกอร์ใช้ประโยชน์จากการอัปเกรดสัญญา OpenSea เพื่อส่งอีเมลฟิชชิ่งไปยังกล่องจดหมายของผู้ใช้ทั้งหมด และผู้ใช้จำนวนมากเข้าใจผิดว่าเป็นอีเมลอย่างเป็นทางการและอนุญาตกระเป๋าเงินของพวกเขา ซึ่งทำให้กระเป๋าเงินถูกขโมย ตามสถิติ อีเมลนี้ทำให้อย่างน้อย 3 BAYC, 37 Azuki, 25 NFT Worlds และ NFT อื่นๆ ถูกขโมย จากราคาพื้น รายได้ของแฮ็กเกอร์สูงถึง 4.16 ล้านดอลลาร์สหรัฐ

และในวันนี้ MAYC หนึ่งรายการและ Doodles สองรายการที่ Jay Chou ถือไว้ถูกขโมยไปทีละรายการ โครงการ NFT อันดับต้น ๆ BAYC และชุมชน Doodles ของ Discord ถูกแฮ็กพร้อม ๆ กัน และความเสียหายที่เกิดจากแฮกเกอร์ยังไม่ได้รับการพิจารณา

ทุกวันนี้ การโจมตีของแฮ็กเกอร์ที่เราจำเป็นต้องป้องกันไม่เพียงแต่มีอยู่ในระดับเทคนิคเท่านั้นแต่ยังมาจากวิศวกรรมสังคมอีกด้วย นอกจากนี้ ราคาของโครงการ NFT จำนวนมากได้เพิ่มขึ้นและหากเราไม่ระวังเราจะสูญเสียเงินจำนวนมหาศาล สินทรัพย์ เมื่อพิจารณาถึงการฉ้อโกงที่เกิดขึ้นบ่อยครั้งในฟิลด์ NFT เมื่อเร็วๆ นี้ Rhythm ได้สรุปวิธีการฉ้อโกงทั่วไปหลายประเภท และหวังว่าผู้อ่านควรระมัดระวังอยู่เสมอและไม่ถูกหลอก

การฉ้อโกง:

1. ลิงก์เว็บไซต์หลอกลวงผ่านข้อความส่วนตัวของ Discord

ลิงก์ข้อความส่วนตัวของ Discord เป็นวิธีการทั่วไปในการหลอกลวงโดยแฮ็กเกอร์ แฮ็กเกอร์มักจะส่งข้อความส่วนตัวถึงสมาชิกเป็นชุดๆ ผ่านชุมชน Discord ต่างๆ หรือแสร้งเป็นผู้ดูแลระบบชุมชนให้กับผู้ใช้ข้อความส่วนตัวเพื่อช่วยแก้ปัญหา และฉ้อโกงรหัสส่วนตัวของกระเป๋าเงิน . หรือส่งเว็บไซต์ฟิชชิ่งปลอมเพื่อบอกผู้ใช้ว่าสามารถรับ NFT ได้ฟรี เป็นต้น เมื่อผู้ใช้อนุญาตเว็บไซต์ปลอมที่แฮ็กเกอร์คัดลอกมา ผู้ใช้จะสูญเสียอย่างใหญ่หลวง

2. โจมตีเซิร์ฟเวอร์ Discord

การแฮ็กเซิร์ฟเวอร์ Discord เป็นสิ่งที่แทบทุกโครงการ NFT ยอดนิยมประสบ แฮ็กเกอร์จะโจมตีบัญชีของผู้ดูแลเซิร์ฟเวอร์แล้วโพสต์ประกาศปลอมในช่องทางต่างๆ ของเซิร์ฟเวอร์ หลอกลวงสมาชิกในชุมชนให้ไปที่เว็บไซต์ปลอมที่ แฮ็กเกอร์สร้างมานานแล้ว NFT ปลอม แฮ็กเกอร์ในปัจจุบันจะฉ้อโกงโทเค็นของผู้ดูแลระบบเซิร์ฟเวอร์โดยส่งเว็บไซต์หลอกลวง ฯลฯ ดังนั้นแม้ว่าผู้ดูแลระบบจะเปิดการตรวจสอบสิทธิ์แบบสองปัจจัย 2FA ก็จะไม่ช่วยอะไร และหากเว็บไซต์ฉ้อฉลที่สร้างโดยแฮ็กเกอร์ต้องการการอนุญาตจากกระเป๋าเงินของผู้ใช้ ก็จะทำให้ผู้ใช้สูญเสียทรัพย์สินอย่างร้ายแรงมากขึ้น

3. ส่งลิงค์การทำธุรกรรมปลอม

การหลอกลวงประเภทนี้พบได้ทั่วไปในการทำธุรกรรม NFT ซึ่งผู้หลอกลวงจะเจรจาเป็นการส่วนตัวกับผู้ใช้ แพลตฟอร์มการซื้อขายเช่น Sudoswap และ NFTtrader สนับสนุนให้ผู้ใช้ "แลกเปลี่ยน" NFT หรือโทเค็นของกันและกันผ่านการเจรจาส่วนตัวและแพลตฟอร์มเหล่านี้ยังให้ความปลอดภัยสำหรับการทำธุรกรรมแบบส่วนตัวซึ่งเป็นสิ่งที่ดีสำหรับตลาด NFT แต่ตอนนี้แฮ็กเกอร์บางคนเริ่มที่จะ ฉ้อโกงผ่านเว็บไซต์ Sudoswap และ NFTtrader ปลอม

Sudoswap และ NFTtrader กำหนดให้ผู้ใช้เริ่มธุรกรรมหลังจากการเจรจาเสร็จสิ้น ขั้นตอนนี้จะสร้างเว็บไซต์ยืนยันคำสั่งซื้อ และธุรกรรมจะดำเนินการโดยอัตโนมัติผ่านสัญญาอัจฉริยะหลังจากทั้งสองฝ่ายได้รับการยืนยัน ในตอนเริ่มต้น สแกมเมอร์จะแสร้งทำเป็นเจรจากับคุณว่าจะแลกเปลี่ยน NFT ใด และแสดงลิงก์เว็บไซต์จริงให้คุณดูก่อน จากนั้นเสนอให้แก้ไขธุรกรรม หลังจากที่เทรดเดอร์ผ่อนคลายความระมัดระวัง สแกมเมอร์จะส่งลิงก์หลอกลวงให้หลังจากนั้น ผู้ใช้คลิกเพื่อยืนยันธุรกรรม NFT ที่เกี่ยวข้องในกระเป๋าเงินจะถูกส่งไปยังกระเป๋าเงินของนักต้มตุ๋น

4. โกงคำศัพท์ช่วยจำ

สแกมเมอร์จะใช้สารพัดวิธีเพื่อชักจูงให้ผู้ใช้ส่งคีย์ส่วนตัวหรือคำช่วยจำให้กับตนเอง เช่น สร้างเว็บไซต์หลอกลวง แสร้งเป็นผู้ดูแลระบบเพื่อช่วยเหลือผู้ใช้ เป็นต้น พฤติกรรมทั้งหมดนี้เพื่อลดความระมัดระวังของผู้ใช้และรอให้ โอกาสในการฉ้อโกงคีย์ส่วนตัวและช่วยในการจำ

5. สร้างคอลเลกชันปลอมและค้นหาข้อตกลงในช่องสาธารณะของ Discord ของโครงการ

คอลเลกชัน NFT ปลอมนั้นพบได้ง่ายที่สุดก่อนที่ไอเท็มยอดนิยมจะออกวางจำหน่าย ก่อนที่กล่องตาบอด NFT จะเปิดตัวอย่างเป็นทางการ พวกมิจฉาชีพจะอัปโหลดคอลเล็กชัน NFT ที่มีชื่อคล้ายกันบนแพลตฟอร์มการซื้อขาย NFT เช่น OpenSea ล่วงหน้า และ "ตกแต่ง" คอลเล็กชันนี้ให้สวยงามผ่านข้อมูลทางการที่เผยแพร่ล่วงหน้า เมื่อคอลเลกชัน NFT จริงไม่ได้ออนไลน์ ผู้ใช้จะค้นหาคอลเลกชันด้วยชื่อที่ใกล้เคียงที่สุดก่อน นักต้มตุ๋นบางรายส่งการเสนอราคาเสนอไปยัง NFT ปลอมที่กำลังรอดำเนินการสั่งซื้ออยู่ เพื่อโน้มน้าวผู้ใช้ว่าพวกเขาจะสร้างธุรกรรมเพิ่มเติมอีกหลายรายการ

เพื่อประหยัดค่าสิทธิของแพลตฟอร์มและฝั่งโครงการการทำธุรกรรมส่วนตัวจะดำเนินการระหว่างสมาชิกในชุมชนนอกเหนือจากการเลียนแบบเว็บไซต์ Sudoswap และ NFTtrader ที่กล่าวถึงข้างต้นแล้วยังมีนักต้มตุ๋นที่ส่งเงินปลอมต่ำกว่าราคาพื้นเล็กน้อย บนช่องชุมชน ลิงค์รวบรวม NFT ผู้ใช้มักถูกหลอกโดยไม่สนใจความถูกต้องของ NFT เมื่อรีบซื้อ NFT ที่ราคาต่ำกว่าราคาพื้น

6. อีเมลปลอม

แพลตฟอร์ม NFT ส่วนใหญ่ต้องการให้ผู้ใช้ผูกกล่องจดหมายของตนเพื่อให้ผู้ใช้สามารถทราบสถานะการทำธุรกรรมของ NFT ของตนได้ในครั้งแรก ดังนั้นกล่องจดหมายจึงกลายเป็นแหล่งรวมตัวของการฉ้อโกง สแกมเมอร์มักจะแสร้งทำเป็นบัญชีทางการของแพลตฟอร์ม OpenSea และส่งลิงก์เว็บไซต์ฟิชชิ่งไปยังผู้ใช้ในลักษณะต่างๆ เช่น ที่อยู่ตามสัญญาจำเป็นต้องได้รับการแก้ไข หรือกระเป๋าเงินจำเป็นต้องได้รับการยืนยันอีกครั้ง เมื่อเร็ว ๆ นี้ หลังจาก OpenSea ประกาศการอัปเกรดสัญญา แฮ็กเกอร์ได้ฉ้อโกงผู้ใช้เกือบ 4 ล้านเหรียญด้วยวิธีนี้ ณ วันที่เขียน ทีมงาน OpenSea ยังคงแก้ไขปัญหาผู้ใช้ที่ถูกบุกรุก

คู่มือป้องกันการหลอกลวง

1. การคัดกรอง URL

ไม่ว่าแฮ็กเกอร์จะใช้บรรจุภัณฑ์แฟนซีแบบใด และคำอธิบายภาษาที่สับสนเพียงใด เมื่อเขาขโมยสินทรัพย์ที่เข้ารหัสของคุณในที่สุด เขาก็ต้องการวิธีโต้ตอบกับกระเป๋าเงินของคุณเสมอ ผู้ใช้ทั่วไปอาจไม่มีความสามารถในการระบุความเสี่ยงของสัญญา แต่โชคดีที่เรายังคงอยู่ในโลกอินเทอร์เน็ตที่ถูกครอบงำโดย web2 สัญญาที่เข้ารหัสเกือบทั้งหมดจำเป็นต้องมีหน้าเว็บส่วนหน้าของ web2 เพื่อโต้ตอบกับผู้ใช้

ดังนั้น การขโมยทรัพย์สินที่เข้ารหัสเกือบทั้งหมดสำหรับผู้ใช้ (แทนที่จะเป็นโครงการ) เกิดขึ้นบนเว็บไซต์ฟิชชิ่งปลอม และเมื่อคุณเข้าใจวิธีระบุเว็บไซต์ฟิชชิ่งแล้ว ก็เพียงพอแล้วที่จะช่วยให้คุณหลีกเลี่ยงการขโมยทรัพย์สินที่เข้ารหัสได้ 99%

สำหรับเจนเนอเรชั่น Z ที่เติบโตมาพร้อมกับสมาร์ทโฟน พวกเขาอาศัยอยู่ใน "ระบบนิเวศน์" ที่สร้างขึ้นโดยแอปทีละแอป และอาจละเลยสิ่งเก่าๆ ของหน้าเว็บ ในยุคของ web2 ระบบชื่อโดเมน DNS ทำให้แต่ละเว็บไซต์มีเอกลักษณ์เฉพาะบนเครือข่ายทั้งหมด การรู้กฎพื้นฐานขององค์ประกอบของชื่อโดเมนก็เพียงพอแล้วที่จะจัดการกับเว็บไซต์ฟิชชิ่งปลอมเกือบทั้งหมด

ในชื่อโดเมน DNS แบบดั้งเดิม ลำดับชั้นของชื่อโดเมนแบ่งออกเป็นสามระดับ การอ่านจากขวาไปซ้ายเริ่มต้นด้วยตัวคั่นแรก (/) แต่ละช่วงจะแยกระดับ ดู https://www.opensea.io/ เป็นตัวอย่าง ".io" คล้ายกับ ".com" และ ".cn" ซึ่งเรียกว่าชื่อโดเมนระดับบนสุด "opensea" เรียกว่าชื่อโดเมนระดับที่สอง นั่นคือหัวเรื่องของชื่อโดเมน และฟิลด์นี้ไม่สามารถทำซ้ำได้ภายใต้ชื่อโดเมนระดับบนสุดเดียวกัน (เช่น .io) ส่วน "www" เป็นชื่อโดเมนระดับที่สาม และผู้ดำเนินการเว็บไซต์สามารถตั้งค่าฟิลด์นี้ได้ด้วยตัวเอง แม้แต่โอเปอเรเตอร์ก็สามารถเพิ่มชื่อโดเมนระดับที่สี่และชื่อโดเมนระดับที่ห้าก่อนหน้า "www" ได้

ลำดับชั้นของชื่อโดเมนนั้นสวนทางกับสัญชาตญาณ: จากขวาไปซ้าย ลำดับชั้นจะลดลง การออกแบบนี้ตรงข้ามกับพฤติกรรมการอ่านของคนส่วนใหญ่อย่างสิ้นเชิง และยังเปิดโอกาสให้ผู้โจมตีโจมตีอีกด้วย ตัวอย่างเช่น แม้ว่าที่อยู่ https://www.opensea.io.example.com จะคล้ายกับที่อยู่ opensea มาก แต่ชื่อโดเมนที่แท้จริงคือ "example.com" แทนที่จะเป็น "opensea.io"

ยังคงเป็นเรื่องยากที่จะคาดเดาว่าจะมีการโจมตีแบบฟิชชิงบน Web3 หรือไม่ แต่ในโลกของ Web2 ระบบชื่อโดเมน DNS ช่วยให้มั่นใจได้ถึงเอกลักษณ์ของชื่อโดเมน (หรือ URL) และแทบเป็นไปไม่ได้เลยที่ผู้ใช้จะเปิดเว็บไซต์ปลอมเมื่อชื่อโดเมนเป็นความจริง

2. อย่าเปิดเผยคีย์ส่วนตัวหรือคำช่วยจำ

กระเป๋าเงิน Crypto ไม่เหมือนอีเมลและบัญชีอื่น ๆ ของ Web2 รหัสส่วนตัวและตัวช่วยจำไม่สามารถแก้ไขหรือเรียกคืนได้ เมื่อรั่วไหล หมายความว่ากระเป๋าเงินจะเป็นของคุณและแฮ็กเกอร์พร้อม ๆ กัน ทรัพย์สินทั้งหมดในกระเป๋าเงินของคุณสามารถ แฮ็กเกอร์สามารถถ่ายโอนได้ตลอดเวลา และเนื่องจากการไม่เปิดเผยตัวตนของที่อยู่ Ethereum คุณจึงไม่สามารถทราบได้ว่าใครคือแฮ็กเกอร์ และโดยธรรมชาติการสูญเสียจะไม่สามารถกู้คืนได้ และกระเป๋าเงินนี้จะไม่สามารถใช้งานได้อีกต่อไป

3. ยกเลิกการอนุญาตกระเป๋าเงินทันเวลา

หากคุณอนุญาตกระเป๋าเงินของคุณบนเว็บไซต์หลอกลวง คุณสามารถไปที่ที่อยู่สามแห่งต่อไปนี้เพื่อตรวจสอบสถานะการอนุญาตกระเป๋าเงินและยกเลิกได้ทันเวลา:

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/

https://debank.com/