【NFT詐騙】小心一夕歸零!一文看完 NFT詐騙陷阱 & 如何預防
獲利方式介紹 NFT NFT 工具 NFT 投資 加密貨幣 加密貨幣 / 區塊鏈 區塊鏈 實用工具教學 新手入門知識 作者: bitssuecredit

NFT詐騙 ❱ 小心一夕歸零!一文看完 NFT詐騙陷阱 & 如何預防

bitssuecredit

在之前的文章中,我們已經教大家如何用 Open Sea 購買自己的 NFT 了,而近期的項目中也出現了許多驚人價格;然而卻也因為市場情緒居高不下、投資人紛紛捧錢進場,因此衍伸出許多 NFT詐騙案例。

今天就要來講述購買 NFT 常見的詐騙,要是買到熱門的 NFT 卻因為資安問題導致資產被盜,那就得不償失啦~

今天將從詐騙發生的時機點、詐騙如何利用平台誘導、裝備的資安安全等進行說明。

虛擬貨幣交易⠀
▸▸▸ 平台推薦 / 手續費優惠◂◂◂
👉⠀點我立即查看⠀👈

加入FB社團,新手必看◂
http://bitssue.com/FBgroup
▸加入LINE社群,交流討論◂
http://bitssue.com/LINEgroup
▸加入LINE官方帳號,最新消息◂
https://lin.ee/DqXuHyJ

技術分析入門班

什麼是 NFT

NFT = Non-fungible token , 非同質化代幣

如我們之前的文章所述:

大家常見的比特幣、以太幣…… 等都是「同質代幣」,也就是若今天你借給我一顆比特幣,我不須去注意它是「哪一顆」,我還你任何一顆都等於你借我的那一顆(與現金的概念差不多),每個代幣都具有可替換性。

NFT 雖然也是代幣,但具有「可程式化、互通性、稀缺性、標準化」的特質,上面特殊的標記使每一顆 NFT 都是獨一無二的存在、不可被取代,適合應用至收藏品、虛擬寶物…… 等價值依存於獨特性的物品。

NFT 的類型

NFT 所表現的形式非常多元,可以是圖片、短片、音樂等,而現實生活中的證書、保險、房地產、都可以 NFT 的形式來呈現。因為其唯一不可取代的特性,變成了識別產品所有權專利時的絕佳工具。

更詳細的內容,可以參考我們之前的文章,還有完整教你如何用狐狸錢包來購買 NFT !

【NFT購買教學】什麼是NFT?新手怎麼買NFT?OpenSea、幣安購買教學

誰會被詐騙 & 怎麼發生的

詐騙的形式有非常多種 ,不過如果你以為會被詐騙的都是幣圈新手,那可就錯了~

詐騙發生與否的關鍵主要還是自於使用者的資安意識是否足夠,要探討這些事情時,我們可以先從我們接觸 NFT 的流程來開始逐一檢視:

【 得到一個 NFT 的流程 】

開啟電腦 > 連結錢包( 熱錢包、冷錢包 )> 開啟 NFT 平台 > 錢包授權 > NFT 轉至錢包

【 研究 NFT 的流程 】

聽到項目名稱 > 開啟電腦/手機 > 在網頁搜尋 NFT 項目 > 進入官網 / 社群軟體

我們在進行上述的流程時,可能會需要以下的設施和平台:

  1. 電腦
  2. 錢包
  3. 社群軟體
  4. NFT 平台

而不管在哪裡動手腳、用何種形式包裝,駭客轉走你錢包的方法只有兩種:

  1. 將註記詞或私鑰偷走
  2. 將錢轉入駭客錢包的動作偽裝成合約交互

以下就來說明各個設施 / 平台上常見的詐騙手法。

NFT詐騙發生的環節、類型

電腦 】

在網路世界,操控設備的每個環節都可能會出現陷阱。以下是在電腦上可能造成資安風險的行為:

1. 網站授權

使用網路時,如果是加密貨幣愛好者,搜尋引擎就比較容易因為演算法把釣魚網站的廣告打出來。

釣魚網站可能是假的項目官方網站(以假亂真的網址,如 bitssuecredit.com 變成 bitssuecerdit.com),可能是假的領取空投網站等,藉此降低你的戒心、要求你輸入個人資訊。

一旦把授權或個資輸入進這些釣魚網站,自己的資安便岌岌可危。

網站授權

▎解決方法:

  • 將經常使用的網站存在書籤列表上,減少自己誤觸釣魚網站的機率。
  • 凡是有關項目方的網址,全部使用值得信任的渠道連結至過去,如善用 OpenSea 上有驗證藍勾勾項目之資訊欄/官方社群公告的網址。
  • 將自己操作加密資產與日常使用的電子設施分開,操作加密貨幣的設備儘可能保持乾淨。

2. 帳密儲存

我們平使用的瀏覽器 Chrome 中有個密碼鑰匙圈的功能,雖然方便、可隨時登入帳號,但如果資安意識不足的使用者使用太多相同帳號密碼,一旦某天某個平台被駭,得到授權的駭客便可以得到你存在 Google 鑰匙圈的所有密碼,整體資安風險便會因此提升。

舉例來說,假如自己每個使用的平台帳號密碼都一樣,那某天其中一個平台遭到盜用,有綁定信用卡或私密資料的帳號也剛好在密碼鑰匙圈上時,便極有可能被盜刷或變成詐騙人頭帳戶。

帳密儲存

▎解決辦法:

  • 儘量不要使用同一組帳號密打天下
  • 不要太依賴自動登入功能,尤其是有關資產的帳戶
  • 將每個平台的各項登入驗證需求都打開,登入時就多一層防護
  • 最安全的方法還是將密碼抄在紙本上並好好保存,不要將自己的帳號密碼放在任何通訊軟體或儲存在網路上。

錢包 】

「擁有一個錢包」可以說是進入元宇宙的第一步,錢包就像你在元宇宙裡的身分證或是地址一樣,是認明你這個人的唯一方式。

如果想看更多錢包介紹,可以看我們的文章:【加密新手必看】冷錢包 / 熱錢包是什麼?你真的需要嗎?文末附錢包比較

相信對購買 NFT 有一點概念的人都知道,購買 NFT 需要一個在電腦、手機等設備中能夠連上網路運行的錢包,通常是使用自己的手機作為載具、下載 APP,或是使用電腦加上外掛來使用。我們最常用的 Metamask 狐狸錢包就是其中一種熱錢包。

接下來會講述大家在 mint NFT 最常遇到風險性高的動作:

1. 簽署陌生智能合約

在區塊鏈世界,我們在與項目互動時(如 mint NFT、玩 GameFi)都會需要去簽署合約,讓項目方寫好的智能合約有權力跟你的錢包進行互動,甚至轉移資產。

而當項目方這邊需要授的事項太多時,通常會選擇無限授權;但項目方在合約做了什麼手腳我們不得而知,之後項目方被駭、控制權落入駭客手中也是有可能的,所以在這邊會教學兩種方法,來幫助我們掌握錢包的控制權:

➤ 第一種需要 debank 的幫忙

DeBank 是多合一 DeFi 錢包,可以幫助用戶追蹤 DeFi 應用、管理資產、查找項目、分析風險等。

圖中示範的是以太鏈部署過的合約,可以透過「decline」的這個選項來取消此合約授權;不過需要注意的是,每取消授權一次就會需要一筆瓦斯費用(Gas fee)。

點擊「decline」後,按下確認便會取消授權。

➤ 第二個只需要你自己的 Metamask 錢包

打開 Metamask 錢包點選右上角三個點的圖示,點選「Connected sites」後,會跑出你之前簽署過的合約,最後按下垃圾桶按鈕就好了。

Metamask 錢包

那兩者有什麼差別呢?

差別在於,Debank 的功能像是你在中心化伺服器登入頁刪掉了自己的帳號並登出,而 Metamask 錢包的部分就像將帳號登出、但設定了自動登入,並沒有把合約取消授權;一旦再次打開該項目,項目方就可以再次使用你簽包的授權。

相較之下 Debank 雖然需要 Gas fee,卻可以較安全地保障自己的財產。

2. 釣魚郵件

發生在錢包上最常見的詐騙便是因授權不明項目導致資產被轉移,其次則是駭客利用釣魚郵件將受害者導入假網站,要求受害者連結錢包並提交助記詞,得到助記詞後將資產轉移走。所以再三確認是否是官方寄出的信件、網址非常重要。

Metamask 官方就曾發布推特澄清「去中心化錢包不需要電子郵件認證」。

釣魚郵件
釣魚郵件

▎解決辦法:

  • 定期清理合約授權清單
  • 養成習慣檢查網址、發信者、發訊息者是否為官方,來路不明的網址、按鈕不要點

社群軟體 】

在 NFT 的世界中,當我們想要獲取項目相關訊息時,通常都會去 Discord、Telegram、Twitter 等項目方習慣使用的社群軟體追蹤消息,但初期使用常因為不熟悉操作而陷入詐騙陷阱。

Discord 是裡面功能最多的平台,所以以下使用 Discord 介面來示範:

1. 私訊邀群

幣圈中主動私訊你的 99.9% 是詐騙,在 Discord 的也不例外。

尤其是從沒有互動過的帳號丟出的網址,在點擊之後,輕是項目的廣告、重則是惡意網站或者病毒在等待著受害者。

又或者是某個帳號突然私訊跟你說這個項目很好,但大部分都是普通的項目(真正火紅的項目不太會以這種方式宣傳),少數更有可能是立意本就不良善、想利用合約把你錢捲走的項目。

私訊邀群

2. 項目方權限被盜、公告假訊息

新項目在初期通常會有公開銷售(public sale)的活動,這時項目方會用各個社交平台來公布銷售活動的注意事項 & 購買網址。有時候就會出現項目方官方帳號被盜、被駭客拿去公佈假網址,使公告出的銷售網址變成釣魚網址的事情發生。

所以一旦你發現 public sale 時間突然提前了等不正常事情發生,都要提高警覺。

不過因為現在 NFT 熱潮下,許多工程師、交易專家都投入這個市場、社群上大神百出,如果你自己無法辨別現在的突發狀況是不是正常的,時時「關注項目方社群中其他玩家的反應」會是不錯的選擇。

▎解決辦法:

  • 定期清理合約授權清單
  • 養成習慣檢查網址、發信者、發訊息者是否為官方,來路不明的網址、按鈕不要點

【 NFT 平台 】

OpenSea 是全球最大、商品種類最多元的 NFT 交易所,當然也是詐騙做手腳的目標之一;其中最簡單粗暴的就是 – 仿冒一個 NFT 項目,我們稱之為「仿盤」。

要怎麼知道我現在瀏覽的頁面是不是仿盤呢?這時可以在「owners」跟「volume traded」的數字看出端倪。

owners 通常會是總量的 60% 以上,而如果是熱門項目,volume traded 至少要有 50 ETH 以上的交易量才安全(如果低於 50 ETH,即使是正版的項目也代表流動性較差、如果持有後可能賣不太掉,因此也不建議立即買入)。

OpenSea
正版 CryptoApes 頁面
盜版
CryptoApes 仿盤

▎解決辦法:

  • 從官方 Discord(社群媒體)連結進入 Opesea 網頁,或詢問頻道的管理員
  • 從官方網站連結至 OpenSea 購買頁
  • 從官方 Twitter 連結至 OpenSea 購買頁

結語

雖然洋洋灑灑列了一些看起來不小心就會踩到的詐騙陷阱,但其實只要注意幾個原則,依照正常管道來交易還是不會有什麼大問題的。

  1. 太便宜的不要貪
  2. 來路不明的人不要相信
  3. 來路不明的網址、網頁,不要點、不要給資料
  4. 永遠不要給出你的錢包助記詞 & 私鑰

做好以上功課,駭客就會遠離我們的錢包。

不過產業變化迅速、詐騙新模式也會推陳出新,如果對項目不熟悉,還是多看、多問,做好準備再下手。單。

加密貨幣 VIP 班、線上直播

---必看精選---

➢ 全台最大交易所-MAX 詳細操作教學:
【2021新手必看】這樣買最划算!全台最大加密貨幣交易所 MAX-註冊、KYC、交易、出入金教學

➢ 懶人穩健投資術-網格設置教學:
【Pionex 派網】波動越大越賺!7天躺著獲利 19%-網格「天地單」三分鐘設置教學

➢ 全球最大交易所-Binance 幣安詳細操作教學:
【2021全攻略】專業操盤必備!全球最大加密貨幣交易所 Binance 幣安-註冊、KYC、交易教學

➢ NFT 新手-OpenSea、Binance 購買圖解教學:
【NFT購買教學】什麼是NFT?新手怎麼買NFT?OpenSea、幣安購買教學

關於 幣修學分 Bitssue Credit

這個世代,投資已經成為年輕人的人生必修。
為了打破幣市投資的知識門檻,兩位區塊鏈產業從業者創立了幣修學分,提供區塊鏈基礎知識、幣市投資要點、重大時事……等投資加密貨幣所需的一切!​

幣修目前為幣圈 Instagram 上追蹤數最高的自媒體,另有經營同名 Facebook官方網站YouTube,在創立兩個月時便受邀與產業內多家知名企業,如幣安、MaiCoin、幣託、派網等合作。
我們每月都會舉辦新手教學班及投資進階課程,目前合計已舉辦近三十場課程,並受邀參與超過六場校園演講 & 企業內訓。

如果你想投資幣圈,立即追蹤起來~時時掌握消息、做出正確投資判斷!
>> ​幣修學分的 IG : bitssue_credit | 幣修學分的 FB : 幣修學分
有校園演講、演講邀約、企業內訓、品牌顧問、品牌露出、產品推廣、設計外包等需求,歡迎寄信至 bitssuecredit@bitssuecredit.com

NFT 詐騙怎麼發生的?

我們在進行得到、研究 NFT 的過程時,可能會需要電腦、錢包、社群軟體、NFT 平台。
而不管在哪裡動手腳、用何種形式包裝,駭客轉走你錢包的方法只有兩種:
❶ 將註記詞或私鑰偷走
❷ 將錢轉入駭客錢包的動作偽裝成合約交互

文內將說明各個設施 / 平台上常見的詐騙手法。

NFT 詐騙發生的環節 & 類型

電腦 】
在網路世界,操控設備的每個環節都可能會出現陷阱。在電腦上可能造成資安風險的行為有: 網站授權 ❷ 帳密儲存

錢包 】
購買 NFT 需要一個在電腦、手機等設備中能夠連上網路運行的熱錢包,大家常用的 Metamask 狐狸錢包就是其中一種熱錢包。Mint NFT 時發生在錢包上風險性高的動作有:❶ 簽署陌生智能合約 ❷ 釣魚郵件

社群軟體 】
當我們想要獲取項目相關訊息時,通常都會去 Discord、Telegram、Twitter 等項目方習慣使用的社群軟體追蹤消息,Discord 是裡面功能最多的平台,常發生在 Discord 上的詐騙有:❶ 私訊邀群 ❷ 項目方權限被盜、公告假訊息

【 NFT 平台 】
OpenSea 是全球最大、商品種類最多元的 NFT 交易所,當然也是詐騙做手腳的目標之一;其中最簡單粗暴的就是 – 仿冒一個 NFT 項目,我們稱之為「仿盤」。

文中將講解各個詐騙的預防方式。

發佈留言