Auteur original : Nancy
Source originale : PANews
La forêt sombre de l’industrie des crypto-monnaies regorge de dangers, de dangers et de pièges cachés. Des histoires de vol d’actifs se produisent souvent, et les pistes NFT populaires et les acteurs bien connus ne sont pas à l’abri. Kevin Rose, fondateur du projet NFT Moonbirds, a confirmé le 25 janvier que son portefeuille personnel avait été piraté et qu'un total de 25 Chromie Squiggles et autres NFT avaient été perdus.
À mesure que les incidents et les montants de vol de NFT augmentent, cet article PANews triera les types d'arnaques courants et les techniques de prévention.
Que savez-vous des escroqueries NFT ?
Alors que l'ampleur du marché du NFT augmente de jour en jour, les incidents de vol « d'achat zéro yuan » deviennent de plus en plus fréquents et les méthodes d'attaque émergent en un flot incessant.
1. Fausse vitrine publicitaire
Récemment, la crypto KOL NFT God a tweeté qu'elle avait perdu tous ses actifs cryptographiques et NFT en raison du piratage de son Twitter, Substack, Gmail, Discord et de son portefeuille. Les pirates ont également publié des liens frauduleux via des comptes volés. La raison du piratage était que le Ledger était auparavant défini comme un portefeuille chaud au lieu d'un portefeuille froid sur le nouvel appareil, après que le mnémonique ait été importé et utilisé dans le portefeuille sur l'ordinateur en réseau, puis après avoir téléchargé le logiciel de streaming vidéo OBS. pour la diffusion du jeu en direct, j'ai cliqué sur les liens sponsorisés par Google pour télécharger des logiciels malveillants, permettant aux pirates d'accéder à leurs fonds. En fait, les publicités de Google permettent à quiconque de contourner les classements et de se classer en premier dans les résultats de recherche, et la probabilité que les utilisateurs cliquent sur ces publicités graphiques est très élevée, ce qui offre également davantage de possibilités d'escroquerie.
2. Fausse tromperie de parachutage
L'acquisition de NFT parachutés à des « prix élevés » est un nouveau type de fraude. Une fois que la victime a reçu des parachutages NFT inconnus, l'escroc proposera un prix élevé pour les acquérir. Si les investisseurs choisissent d'échanger ce NFT, ils accéderont à un faux site Web d'escroquerie par phishing pour obtenir une autorisation lorsqu'un message d'erreur de transaction apparaît pour des raisons particulières, conduisant finalement au vol de leurs actifs.
3. NFT contrefait
En mars de cette année, Whitestone à Tokyo, au Japon, a publié une annonce de fraude liée au NFT, déclarant que des individus non officiels vendaient des NFT de l'artiste bien connu Yayoi Kusama sous le couvert de la Whitestone Gallery. En fait, il existe de nombreux escrocs sur le marché qui plagient les œuvres d'artistes et mettent de fausses versions sur le marché des NFT, ce qui amène de nombreuses personnes à acheter de faux NFT sans aucune valeur. Non seulement cela, il existe également des escroqueries qui téléchargeront de faux projets portant des noms similaires sur la plateforme de trading NFT, et créeront même plusieurs transactions pour dérouter les utilisateurs. Il est très facile pour certains utilisateurs habitués à utiliser la fonction de recherche de tomber. le piège.
4. Faux e-mails
En février de cette année, OpenSea a officiellement lancé une mise à niveau du contrat intelligent et les utilisateurs doivent migrer leurs listes NFT sur Ethereum vers le nouveau contrat intelligent. Le pirate informatique a profité de l'occasion pour se faire passer pour un fonctionnaire et a envoyé un e-mail de rappel de mise à niveau aux utilisateurs. De nombreux utilisateurs qui n'étaient pas très conscients de la prévention ont autorisé leurs portefeuilles sur les liens de phishing, entraînant le vol d'actifs NFT, notamment Bored Ape Yacht. Club, Cool Cats, Doodles et Azuki attendent.
Étant donné que de nombreux projets NFT exigent que les utilisateurs associent leurs adresses e-mail pour obtenir des informations le plus rapidement possible, de nombreux attaquants se font passer pour des fonctionnaires et envoient des liens de phishing aux utilisateurs pour des raisons telles que la modification de l'adresse du contrat et la revérification du portefeuille. devenir une cible de fraude.
5. Des fonctionnaires ont été piratés ou usurpés d'identité
Ou pour diverses raisons, telles que des employés attaqués par phishing, le téléchargement de logiciels malveillants ou la non-configuration d'une authentification à deux facteurs, les comptes officiels des projets NFT sont souvent piratés. En avril 2022, le compte Instagram officiel du Bored Ape Yacht Club a été piraté et les pirates ont utilisé le compte Instagram pour partager un lien frauduleux imitant le site Web du Bored Ape Yacht Club, qui comprenait un lien permettant aux utilisateurs de connecter leur MetaMask à un portefeuille frauduleux. . A participé à de faux parachutages et les pirates ont ensuite volé plus de 2,8 millions de dollars de NFT. En juin de la même année, le serveur Discord de Yuga Labs a été piraté et les attaquants ont utilisé le compte pour gagner de l'argent en publiant des liens de phishing dans les projets officiels BAYC et Metaverse.
Bien sûr, il existe également des escrocs qui falsifient les comptes officiels des projets NFT et gagnent la confiance des utilisateurs, puis envoient des sites Web de phishing pour leur demander de signer, c'est-à-dire qu'ils peuvent acheter des NFT sur le compte sans dépenser d'argent, et la plupart les utilisateurs sont incapables de distinguer la chaîne de problèmes dans le contenu signé qui combine des chiffres et des lettres. De plus, les liens de messages privés sont une méthode de fraude courante. Ils envoient souvent des messages privés aux membres via diverses communautés sur Telegram, Discord et d'autres plateformes, et prétendent même être des administrateurs pour frauder les utilisateurs avec les clés privées de leur portefeuille.
6. Générez des adresses avec le même numéro de queue
De manière générale, la plupart des utilisateurs vérifient uniquement si l'adresse est correcte en vérifiant les chiffres de début et de fin de l'adresse du contrat, ce qui donne également une opportunité aux attaquants. Ils profiteront de l'habitude des utilisateurs de copier les adresses passées dans les enregistrements de transactions historiques, de forger un contrat avec le même nombre de chiffres avant et après et de larguer continuellement de petites quantités de jetons. Si les utilisateurs ne vérifient pas soigneusement l'adresse complète, les actifs peuvent le faire. facilement être volé. De plus, en plus de la même arnaque à la mantisse, les attaques d'empoisonnement d'adresse en chaîne sans transfert doivent également être vigilantes. De nombreux utilisateurs considéreront cette adresse comme une adresse interactive de confiance.
Les bonnes étapes pour la protection des actifs
Les opérations en chaîne sont irréversibles. Une fois les actifs volés, il est en réalité très difficile pour la plupart des gens de les récupérer, en particulier pour les utilisateurs ordinaires sans aucune compétence technique. Alors, comment pouvez-vous éviter que vos actifs ne soient fraudés ?
1. Protégez la clé privée ou la phrase mnémonique : contrairement aux mots de passe qui peuvent être modifiés en cas de fuite de comptes Web2 tels que les e-mails et les plateformes sociales, la clé privée et la phrase mnémonique, en tant que « clés » du portefeuille, ne peuvent pas être modifiées ou récupérées. Une fois les actifs divulgués, ils seront pillés. Les attaquants utiliseront les émotions FOMO telles que les parachutages/loteries NFT et Free Mint pour inciter les utilisateurs à envoyer leurs clés privées ou leurs phrases mnémoniques. Ils peuvent même prétendre être des administrateurs officiels et créer de faux sites Web de noms de domaine pour réduire la vigilance des utilisateurs.
2. Collectez les sites Web couramment utilisés et filtrez les comptes sociaux officiels : bien que les sites Web de phishing soient les plus faciles à identifier, ils constituent l'une des principales raisons pour lesquelles les actifs NFT sont volés. En fait, quel que soit le rendu de ce type de site Web (vous pouvez vérifier le nom de domaine, l'orthographe de l'URL, etc.), le but ultime est d'interagir avec le portefeuille. Les utilisateurs doivent rester prudents, collecter les sites Web officiels fréquemment utilisés et. entrez dans les comptes sociaux à partir du site officiel (vous pouvez utiliser À en juger par le nombre de fans, l'activité du compte, la participation aux commentaires, etc.), et ne pas cliquer facilement sur les liens partagés dans les messages privés ou les e-mails évitera en grande partie la possibilité de vol d'actifs. De plus, même si la plupart des utilisateurs n’ont pas la possibilité d’identifier les risques liés aux contrats, l’installation de plug-ins anti-phishing permettra d’identifier efficacement certains sites Web de phishing.
3. Isolation des actifs et inspection régulière : utilisez plusieurs portefeuilles pour participer aux transactions NFT et au minting, et les portefeuilles qui stockent les actifs et interagissent avec les applications doivent être isolés. En particulier, les portefeuilles qui stockent de grandes quantités de fonds doivent éviter toute interaction. De plus, les utilisateurs doivent vérifier régulièrement si le portefeuille interagit avec des contrats anormaux et annuler l'autorisation en temps opportun.
4. Certification croisée des informations multipartites : la diligence raisonnable est très importante avant de participer et de lancer le NFT. Les utilisateurs peuvent l'évaluer en vérifiant si les comptes sociaux sont vérifiés et en recoupant les informations du projet via plusieurs canaux.
5. Vérifiez soigneusement l'adresse : pour tout comportement de transfert, les utilisateurs doivent vérifier l'adresse complète du contrat ou utiliser la fonction de transfert de carnet d'adresses du portefeuille pour transférer des fonds en sélectionnant directement l'adresse. De plus, pour certaines adresses contractuelles participant au projet, les utilisateurs peuvent obtenir les adresses via les canaux officiels pour éviter d'être modifiées par des attaquants intermédiaires.
Bien entendu, avec les progrès continus de la technologie, les techniques de vol d’actifs évoluent également avec le temps. Par conséquent, une fois leurs actifs volés, les utilisateurs doivent immédiatement isoler leurs actifs et modifier les mots de passe de leurs comptes sociaux et autres informations personnelles. informer Autres informations relatives au compte fraudé. S'il s'agit d'une attaque de virus, les ordinateurs et autres équipements doivent être déconnectés d'Internet. En outre, les utilisateurs peuvent également faire appel à des sociétés de sécurité professionnelles pour effectuer la recherche de fonds afin de maximiser l'indemnisation des pertes de fonds.
(Le contenu ci-dessus est extrait et réimprimé avec l'autorisation de notre partenaire PANews, lien texte original)
Déclaration : L'article représente uniquement les points de vue et opinions personnels de l'auteur, et ne représente pas les points de vue et positions objectifs de la blockchain. Tous les contenus et opinions sont uniquement à titre de référence et ne constituent pas des conseils en investissement. Les investisseurs doivent prendre leurs propres décisions et transactions, et l'auteur et le client Blockchain ne seront pas tenus responsables des pertes directes ou indirectes causées par les transactions des investisseurs.
Cet article Guide de prévention NFT : Découvrez les escroqueries NFT courantes dans un article paru pour la première fois sur Blockchain.
