在之前的文章中,我們已經教大家如何用 Open Sea 購買自己的 NFT 了,而近期的項目中也出現了許多驚人價格;然而卻也因為市場情緒居高不下、投資人紛紛捧錢進場,因此衍伸出許多 NFT詐騙案例。
今天就要來講述購買 NFT 常見的詐騙,要是買到熱門的 NFT 卻因為資安問題導致資產被盜,那就得不償失啦~
今天將從詐騙發生的時機點、詐騙如何利用平台誘導、裝備的資安安全等進行說明。
⠀虛擬貨幣交易⠀
▸▸▸ 平台推薦 / 手續費優惠◂◂◂
👉⠀點我立即查看⠀👈
▸加入FB社團,新手必看◂
http://bitssue.com/FBgroup
▸加入LINE社群,交流討論◂
http://bitssue.com/LINEgroup
▸加入LINE官方帳號,最新消息◂
https://lin.ee/DqXuHyJ
文章目錄
什麼是 NFT
NFT = Non-fungible token , 非同質化代幣
如我們之前的文章所述:
大家常見的比特幣、以太幣…… 等都是「同質代幣」,也就是若今天你借給我一顆比特幣,我不須去注意它是「哪一顆」,我還你任何一顆都等於你借我的那一顆(與現金的概念差不多),每個代幣都具有可替換性。
NFT 雖然也是代幣,但具有「可程式化、互通性、稀缺性、標準化」的特質,上面特殊的標記使每一顆 NFT 都是獨一無二的存在、不可被取代,適合應用至收藏品、虛擬寶物…… 等價值依存於獨特性的物品。
NFT 的類型
NFT 所表現的形式非常多元,可以是圖片、短片、音樂等,而現實生活中的證書、保險、房地產、都可以 NFT 的形式來呈現。因為其唯一不可取代的特性,變成了識別產品所有權專利時的絕佳工具。
更詳細的內容,可以參考我們之前的文章,還有完整教你如何用狐狸錢包來購買 NFT !
▎【NFT購買教學】什麼是NFT?新手怎麼買NFT?OpenSea、幣安購買教學
誰會被詐騙 & 怎麼發生的
詐騙的形式有非常多種 ,不過如果你以為會被詐騙的都是幣圈新手,那可就錯了~
詐騙發生與否的關鍵主要還是自於使用者的資安意識是否足夠,要探討這些事情時,我們可以先從我們接觸 NFT 的流程來開始逐一檢視:
【 得到一個 NFT 的流程 】
開啟電腦 > 連結錢包( 熱錢包、冷錢包 )> 開啟 NFT 平台 > 錢包授權 > NFT 轉至錢包
【 研究 NFT 的流程 】
聽到項目名稱 > 開啟電腦/手機 > 在網頁搜尋 NFT 項目 > 進入官網 / 社群軟體
我們在進行上述的流程時,可能會需要以下的設施和平台:
- 電腦
- 錢包
- 社群軟體
- NFT 平台
而不管在哪裡動手腳、用何種形式包裝,駭客轉走你錢包的方法只有兩種:
- 將註記詞或私鑰偷走
- 將錢轉入駭客錢包的動作偽裝成合約交互
以下就來說明各個設施 / 平台上常見的詐騙手法。
NFT詐騙發生的環節、類型
【 電腦 】
在網路世界,操控設備的每個環節都可能會出現陷阱。以下是在電腦上可能造成資安風險的行為:
1. 網站授權
使用網路時,如果是加密貨幣愛好者,搜尋引擎就比較容易因為演算法把釣魚網站的廣告打出來。
釣魚網站可能是假的項目官方網站(以假亂真的網址,如 bitssuecredit.com 變成 bitssuecerdit.com),可能是假的領取空投網站等,藉此降低你的戒心、要求你輸入個人資訊。
一旦把授權或個資輸入進這些釣魚網站,自己的資安便岌岌可危。
▎解決方法:
- 將經常使用的網站存在書籤列表上,減少自己誤觸釣魚網站的機率。
- 凡是有關項目方的網址,全部使用值得信任的渠道連結至過去,如善用 OpenSea 上有驗證藍勾勾項目之資訊欄/官方社群公告的網址。
- 將自己操作加密資產與日常使用的電子設施分開,操作加密貨幣的設備儘可能保持乾淨。
2. 帳密儲存
我們平使用的瀏覽器 Chrome 中有個密碼鑰匙圈的功能,雖然方便、可隨時登入帳號,但如果資安意識不足的使用者使用太多相同帳號密碼,一旦某天某個平台被駭,得到授權的駭客便可以得到你存在 Google 鑰匙圈的所有密碼,整體資安風險便會因此提升。
舉例來說,假如自己每個使用的平台帳號密碼都一樣,那某天其中一個平台遭到盜用,有綁定信用卡或私密資料的帳號也剛好在密碼鑰匙圈上時,便極有可能被盜刷或變成詐騙人頭帳戶。
▎解決辦法:
- 儘量不要使用同一組帳號密打天下
- 不要太依賴自動登入功能,尤其是有關資產的帳戶
- 將每個平台的各項登入驗證需求都打開,登入時就多一層防護
- 最安全的方法還是將密碼抄在紙本上並好好保存,不要將自己的帳號密碼放在任何通訊軟體或儲存在網路上。
【 錢包 】
「擁有一個錢包」可以說是進入元宇宙的第一步,錢包就像你在元宇宙裡的身分證或是地址一樣,是認明你這個人的唯一方式。
如果想看更多錢包介紹,可以看我們的文章:【加密新手必看】冷錢包 / 熱錢包是什麼?你真的需要嗎?文末附錢包比較
相信對購買 NFT 有一點概念的人都知道,購買 NFT 需要一個在電腦、手機等設備中能夠連上網路運行的錢包,通常是使用自己的手機作為載具、下載 APP,或是使用電腦加上外掛來使用。我們最常用的 Metamask 狐狸錢包就是其中一種熱錢包。
接下來會講述大家在 mint NFT 最常遇到風險性高的動作:
1. 簽署陌生智能合約
在區塊鏈世界,我們在與項目互動時(如 mint NFT、玩 GameFi)都會需要去簽署合約,讓項目方寫好的智能合約有權力跟你的錢包進行互動,甚至轉移資產。
而當項目方這邊需要授的事項太多時,通常會選擇無限授權;但項目方在合約做了什麼手腳我們不得而知,之後項目方被駭、控制權落入駭客手中也是有可能的,所以在這邊會教學兩種方法,來幫助我們掌握錢包的控制權:
➤ 第一種需要 debank 的幫忙
DeBank 是多合一 DeFi 錢包,可以幫助用戶追蹤 DeFi 應用、管理資產、查找項目、分析風險等。
圖中示範的是以太鏈部署過的合約,可以透過「decline」的這個選項來取消此合約授權;不過需要注意的是,每取消授權一次就會需要一筆瓦斯費用(Gas fee)。
點擊「decline」後,按下確認便會取消授權。
➤ 第二個只需要你自己的 Metamask 錢包
打開 Metamask 錢包點選右上角三個點的圖示,點選「Connected sites」後,會跑出你之前簽署過的合約,最後按下垃圾桶按鈕就好了。
那兩者有什麼差別呢?
差別在於,Debank 的功能像是你在中心化伺服器登入頁刪掉了自己的帳號並登出,而 Metamask 錢包的部分就像將帳號登出、但設定了自動登入,並沒有把合約取消授權;一旦再次打開該項目,項目方就可以再次使用你簽包的授權。
相較之下 Debank 雖然需要 Gas fee,卻可以較安全地保障自己的財產。
2. 釣魚郵件
發生在錢包上最常見的詐騙便是因授權不明項目導致資產被轉移,其次則是駭客利用釣魚郵件將受害者導入假網站,要求受害者連結錢包並提交助記詞,得到助記詞後將資產轉移走。所以再三確認是否是官方寄出的信件、網址非常重要。
Metamask 官方就曾發布推特澄清「去中心化錢包不需要電子郵件認證」。
▎解決辦法:
- 定期清理合約授權清單
- 養成習慣檢查網址、發信者、發訊息者是否為官方,來路不明的網址、按鈕不要點
【 社群軟體 】
在 NFT 的世界中,當我們想要獲取項目相關訊息時,通常都會去 Discord、Telegram、Twitter 等項目方習慣使用的社群軟體追蹤消息,但初期使用常因為不熟悉操作而陷入詐騙陷阱。
Discord 是裡面功能最多的平台,所以以下使用 Discord 介面來示範:
1. 私訊邀群
幣圈中主動私訊你的 99.9% 是詐騙,在 Discord 的也不例外。
尤其是從沒有互動過的帳號丟出的網址,在點擊之後,輕是項目的廣告、重則是惡意網站或者病毒在等待著受害者。
又或者是某個帳號突然私訊跟你說這個項目很好,但大部分都是普通的項目(真正火紅的項目不太會以這種方式宣傳),少數更有可能是立意本就不良善、想利用合約把你錢捲走的項目。
2. 項目方權限被盜、公告假訊息
新項目在初期通常會有公開銷售(public sale)的活動,這時項目方會用各個社交平台來公布銷售活動的注意事項 & 購買網址。有時候就會出現項目方官方帳號被盜、被駭客拿去公佈假網址,使公告出的銷售網址變成釣魚網址的事情發生。
所以一旦你發現 public sale 時間突然提前了等不正常事情發生,都要提高警覺。
不過因為現在 NFT 熱潮下,許多工程師、交易專家都投入這個市場、社群上大神百出,如果你自己無法辨別現在的突發狀況是不是正常的,時時「關注項目方社群中其他玩家的反應」會是不錯的選擇。
▎解決辦法:
- 定期清理合約授權清單
- 養成習慣檢查網址、發信者、發訊息者是否為官方,來路不明的網址、按鈕不要點
【 NFT 平台 】
OpenSea 是全球最大、商品種類最多元的 NFT 交易所,當然也是詐騙做手腳的目標之一;其中最簡單粗暴的就是 – 仿冒一個 NFT 項目,我們稱之為「仿盤」。
要怎麼知道我現在瀏覽的頁面是不是仿盤呢?這時可以在「owners」跟「volume traded」的數字看出端倪。
owners 通常會是總量的 60% 以上,而如果是熱門項目,volume traded 至少要有 50 ETH 以上的交易量才安全(如果低於 50 ETH,即使是正版的項目也代表流動性較差、如果持有後可能賣不太掉,因此也不建議立即買入)。
▎解決辦法:
- 從官方 Discord(社群媒體)連結進入 Opesea 網頁,或詢問頻道的管理員
- 從官方網站連結至 OpenSea 購買頁
- 從官方 Twitter 連結至 OpenSea 購買頁
結語
雖然洋洋灑灑列了一些看起來不小心就會踩到的詐騙陷阱,但其實只要注意幾個原則,依照正常管道來交易還是不會有什麼大問題的。
- 太便宜的不要貪
- 來路不明的人不要相信
- 來路不明的網址、網頁,不要點、不要給資料
- 永遠不要給出你的錢包助記詞 & 私鑰
做好以上功課,駭客就會遠離我們的錢包。
不過產業變化迅速、詐騙新模式也會推陳出新,如果對項目不熟悉,還是多看、多問,做好準備再下手。單。
---必看精選---
➢ 全台最大交易所-MAX 詳細操作教學:
【2021新手必看】這樣買最划算!全台最大加密貨幣交易所 MAX-註冊、KYC、交易、出入金教學
➢ 懶人穩健投資術-網格設置教學:
【Pionex 派網】波動越大越賺!7天躺著獲利 19%-網格「天地單」三分鐘設置教學
➢ 全球最大交易所-Binance 幣安詳細操作教學:
【2021全攻略】專業操盤必備!全球最大加密貨幣交易所 Binance 幣安-註冊、KYC、交易教學
➢ NFT 新手-OpenSea、Binance 購買圖解教學:
【NFT購買教學】什麼是NFT?新手怎麼買NFT?OpenSea、幣安購買教學
關於 幣修學分 Bitssue Credit
這個世代,投資已經成為年輕人的人生必修。
為了打破幣市投資的知識門檻,兩位區塊鏈產業從業者創立了幣修學分,提供區塊鏈基礎知識、幣市投資要點、重大時事……等投資加密貨幣所需的一切!
幣修目前為幣圈 Instagram 上追蹤數最高的自媒體,另有經營同名 Facebook、官方網站、YouTube,在創立兩個月時便受邀與產業內多家知名企業,如幣安、MaiCoin、幣託、派網等合作。
我們每月都會舉辦新手教學班及投資進階課程,目前合計已舉辦近三十場課程,並受邀參與超過六場校園演講 & 企業內訓。
如果你想投資幣圈,立即追蹤起來~時時掌握消息、做出正確投資判斷!
>> 幣修學分的 IG : bitssue_credit | 幣修學分的 FB : 幣修學分
有校園演講、演講邀約、企業內訓、品牌顧問、品牌露出、產品推廣、設計外包等需求,歡迎寄信至 bitssuecredit@bitssuecredit.com。
NFT 詐騙怎麼發生的?
我們在進行得到、研究 NFT 的過程時,可能會需要電腦、錢包、社群軟體、NFT 平台。
而不管在哪裡動手腳、用何種形式包裝,駭客轉走你錢包的方法只有兩種:
❶ 將註記詞或私鑰偷走
❷ 將錢轉入駭客錢包的動作偽裝成合約交互
文內將說明各個設施 / 平台上常見的詐騙手法。
NFT 詐騙發生的環節 & 類型
【 電腦 】
在網路世界,操控設備的每個環節都可能會出現陷阱。在電腦上可能造成資安風險的行為有:❶ 網站授權 ❷ 帳密儲存
【 錢包 】
購買 NFT 需要一個在電腦、手機等設備中能夠連上網路運行的熱錢包,大家常用的 Metamask 狐狸錢包就是其中一種熱錢包。Mint NFT 時發生在錢包上風險性高的動作有:❶ 簽署陌生智能合約 ❷ 釣魚郵件
【 社群軟體 】
當我們想要獲取項目相關訊息時,通常都會去 Discord、Telegram、Twitter 等項目方習慣使用的社群軟體追蹤消息,Discord 是裡面功能最多的平台,常發生在 Discord 上的詐騙有:❶ 私訊邀群 ❷ 項目方權限被盜、公告假訊息
【 NFT 平台 】
OpenSea 是全球最大、商品種類最多元的 NFT 交易所,當然也是詐騙做手腳的目標之一;其中最簡單粗暴的就是 – 仿冒一個 NFT 項目,我們稱之為「仿盤」。
文中將講解各個詐騙的預防方式。