Crypto的世界就像一片黑暗的森林，可能有无数的危机潜伏在你的身边。近日，部分黑客利用OpenSea合约升级的机会，向所有用户的邮箱发送钓鱼邮件，不少用户误将其视为官方邮件，对自己的钱包进行了授权，导致钱包被盗。据统计，这封邮件导致至少 3 个 BAYC、37 个 Azuki、25 个 NFT Worlds 和其他 NFT 被盗。按照底价计算，黑客的收入高达416万美元。

当晚，《All in NFT》同济大学生Niq长期持有的1/1 Doodle也被盗。原因是对方让尼克私下谈判交易，让Niq放松警惕后，给他发了一个假的。交易网站链接。

今天，我们需要防范的黑客攻击不仅存在于技术层面，还存在于社会工程学层面。再加上很多 NFT 项目的价格不断上涨，一不小心就会损失巨大的资产。鉴于近期NFT领域骗局频发，总结了几种常见的骗局。希望读者时刻保持警惕，不要上当受骗。

欺诈手段

通过 Discord 私信链接到欺诈网站

不和谐的私人消息链接通常被黑客用来欺骗。黑客经常在 Discord 中向不同社区的成员发送私信，或冒充社区管理员私信用户，帮助解决问题，以诈骗钱包私钥。或者发送虚假钓鱼网站告诉用户可以免费索取NFT等。一旦用户对黑客伪造的虚假网站进行授权，会给用户带来巨大损失。

攻击 Discord 服务器

Discord 服务器被黑是几乎每个流行的 NFT 项目都会经历的事情。黑客会攻击服务器管理员的账号，然后在服务器的各个渠道发布虚假公告，诱骗社区成员访问黑客很久以前建立的虚假网站。假 NFT。今天的黑客会通过发送欺诈网站等方式来欺骗服务器管理员的令牌，所以即使管理员开启了2FA双因素认证也无济于事。如果黑客建立的欺诈网站需要用户钱包的授权，会给用户带来更严重的财产损失。

发送虚假交易链接

这种类型的骗局常见于 NFT 交易中，骗子与用户私下谈判。Sudoswap 和 NFTtrader 等交易平台鼓励用户通过私下协商“交换”对方的 NFT 或代币，而这些平台还为私下协商的交易提供安全保障，这对 NFT 市场来说是一件好事，但现在一些黑客已经开始通过虚假的 Sudoswap 和 NFTtrader 网站进行诈骗。

Sudoswap 和 NFTtrader 要求用户在协商完成后发起交易。此步骤将生成一个订单确认网站。双方确认后，交易将通过智能合约自动进行。骗子一开始会假装和你协商要兑换哪些NFT，并先给你看一个真实的网站链接，然后提出修改交易。交易者放松警惕后，骗子会发送欺诈链接。用户点击确认交易后，钱包中对应的NFT会发送到骗子的钱包中。

欺骗助记词

作弊者会通过各种手段诱使用户将自己的私钥或助记词发送给自己，例如搭建诈骗网站、冒充管理员帮助用户助记词等。

5. 在项目的 Discord 公共频道上创建一个虚假 Collection 并寻求交易

在许多受欢迎的项目开始销售之前，最容易发现假 NFT 集合。当 NFT 盲盒正式上线时，骗子会提前在 OpenSea 等 NFT 交易平台上传名称相近的 NFT 收藏，并通过提前发布的官方信息将这个收藏进行精美的“装点”。如果真正的 NFT 收藏不在线，用户将首先搜索名称最接近的收藏。一些诈骗者向当前挂单的假 NFT 发送报价，以说服用户他们将创建多笔交易。

为了节省平台和项目方的版税，社区成员会进行私下交易。除了上面提到的模仿 Sudoswap 和 NFTtrader 网站外，还有骗子在社区渠道发送比底价略低的假价格。链接到 NFT 集合。用户在急于购买低于底价的 NFT 时，往往会因为忽视 NFT 的真实性而受到欺骗。

6. 虚假电子邮件

大多数 NFT 平台都要求用户绑定自己的邮箱，以便用户第一时间知道自己 NFT 的交易状态。因此，邮箱也成为诈骗的聚集地。诈骗者通常伪装成OpenSea平台的公众号，向用户发送钓鱼网站链接，需要修改合约地址或重新认证钱包。近日OpenSea宣布合约升级后，黑客通过这种方式骗取了用户近400万美元的财产。截至本文撰写之日，OpenSea 团队仍在调查受感染用户。

欺诈预防指南

网站筛选

无论黑客使用什么样的精美包装以及语言描述多么混乱，当他最终窃取您的加密资产时，他总是需要一种与您的钱包交互的方式。普通用户可能不具备识别合约风险的能力，但幸运的是，我们还处于一个以 web2.0 为主导的互联网世界。几乎所有的加密合约都需要一个 web2 前端网页来与用户交互。

结果，几乎绝大多数对用户（而不是项目方）的加密资产盗窃都发生在虚假网络钓鱼网站上。一旦您知道如何发现网络钓鱼网站，您就可以避免 99% 的加密盗窃。

对于伴随着智能手机长大的 Z 世代来说，他们生活在一个又一个应用创造的“生态”中，他们可能忽略了对网页这个旧事物的理解。web2时代，DNS域名系统赋予每个网站在全网唯一的身份。了解域名组成的基本规则就足以应对几乎所有的假冒钓鱼网站。

在传统的DNS域名中，域名层次分为三个层次。从第一个分隔符 (/) 开始从右到左读取，每个句点分隔一个级别。以https://www.opensea.io/为例，“.io”与“.com”、“.cn”等类似，称为顶级域名，该字段不能自定义. “opensea”被称为二级域名，即域名的主体。该字段不能在同一个顶级域名（如.io）下重复。“www”部分为三级域名，网站运营者可自行设置。甚至运营商也可以在“www”前继续添加四级域名和五级域名。

域名的层次顺序是违反直觉的：从右到左，层次逐渐递减。这种设计与大多数人的阅读习惯完全相反，也让攻击者占了上风。例如，https ://www.opensea.io.example.com 与 opensea 地址高度相似，但它的实际域名是“example.com”而不是“opensea.io”。

Web3 是否仍然存在网络钓鱼攻击很难预测。但在 Web2 世界中，DNS 域名系统保证了域名（或 URL）的唯一性，如果域名是真实的，用户几乎不可能打开假网站。

不要泄露私钥或助记词

加密钱包不像 Web2 电子邮件帐户。无法修改或检索私钥和助记词。一旦泄露，就意味着钱包将属于你和黑客。您钱包中的所有资产都可以随时被黑客转移。并且由于以太坊地址的匿名性，你无法查明黑客是谁，损失无法挽回，钱包也无法再使用。

及时取消钱包授权

如果您在诈骗网站上对钱包进行了授权，您可以及时到以下三个地址查看钱包授权并及时取消：

https://etherscan.io/tokenapprovalchecker

https://revoke.cash/

https://debank.com/

－ END －