By: 山
“我不需求知道 Jerry 是谁,在网络上经商,你信赖的便是网络上的小面板,剥掉面板,你就知道这玩意实际上有多脆弱,而事实上在那网站后边操作的真人,他们才是你需求信赖的人。“
——《别信赖任何人:虚拟钱银悬案》
NFT布景
2008 年 11 月 1 日,中本聪提出比特币(Bitcoin)的概念,2009 年 1 月 3 日,比特币正式诞生,而后跟着全球数字经济加快发展,加密资产等概念爆热,2012 年第一个相似 NFT 的通证 Colored Coin(五颜六色币)诞生。五颜六色币由小面额的比特币组成,最小单位为一聪(比特币的最小单位)。跟着技术的持续发展,时刻一转来到 2021 年,NFT 迎来了爆发性增加,逐步成为市场最热的出资风向标之一。
艺术家 Beeple 的 NFT 作品《Everydays:The First 5000 Days》在佳士得官网上以 69,346,250 美元成交,虚拟游戏渠道 Sandbox 上的一块虚拟土地以 430 万美元售出……跟着水涨船高,层出不穷的高价项目持续影响着人们的神经。然后在高价光环之下,NFT 也逐渐进入了犯罪分子的视界,从此开启了针对 NFT 的疯狂垂钓、偷盗等行动。
NFT现状
引言这段话出自 Netflix 的克己纪录片《别信赖任何人:虚拟钱银悬案》,故事讲述加拿大最大加密钱银买卖所 QuadrigaCX 首席履行官格里科滕古怪逝世后,他将 2.5 亿美元客户资金密码也带进了坟墓。大量惊恐的出资者拒绝接受官方的说法,他们认为格里的“逝世”具有“缓兵之计”的一切特征:他还活着,现已带着出资者的钱跑路了!
其实 QuadrigaCX 的故事仅仅 Web3 世界的冰山一角,而咱们今日要聊的 NFT 世界里,被盗简直每天都在上演,列举几个闻名事例:
2021 年 2 月 21 日,OpenSea 用户遭到 personal_sign 类型网络垂钓进犯,有 32 位用户签署了来自进犯者的歹意买卖,导致用户部分 NFT 被盗,包含 BAYC、Azuki 等近百个 NFT,按其时价格计算,黑客获利 420 万美元;
2022 年 4 月 29 日,周杰伦持有价值 320 万元的无聊猿NFT被盗;
2022 年 5 月 25 日,推特用户 @0xLosingMoney 称监测到 ID 为 @Dvincent_ 的用户经过发布垂钓网站 p2peers[.]io 盗走了 29 枚 Moonbirds 系列 NFT,价值超 70 万美元;
2022 年 6 月 28 日,Web3 项目 Metabergs 创作者 Nickydooodles.eth 发推称,黑客运用垂钓方法进犯了他的钱包,丢失了 17 枚 ETH(约合 21,077 美元)和全部 NFT 藏品,包含 Goblintown NFT、Doodles NFT、Sandbox Land 等;
2022 年 11 月 1 日,KUMALEON 项目的 Discord 遭黑客侵略,进犯者经过发布垂钓链接的方法施行进犯,导致社区用户大约 111 枚 NFT 被盗,包含 BAYC #5313 、ENS、ALIENFRENS 和 Art Blocks 等;
2021 年 12 月 31 日,推特用户 Kramer 在推特称其点击了一个看起来像真的 NFT DApp 链接,成果这是一次网络垂钓进犯,他的 16 个 NFT 被盗,包含 8 个 Bored Apes、7 个 Mutant Apes 和 1 个 Clonex,价值 190 万美元;
2023 年 1 月 15 日,闻名博主 @NFT_GOD 因点击谷歌上的垂钓广告链接,导致一切账户(substack、twitter 等)、加密钱银以及 NFT 被盗;
2023 年 1 月 26 日,NFT 闻名项目 Moonbirds 创始人 Kevin Rose 的钱包被盗,丢失约 40 枚 NFT,丢失超越 200 万美元;
2023 年 1 月 28 日,NFT 闻名项目 Azuki 官方 Twitter 账号被黑,导致其粉丝衔接到垂钓链接,超 122 枚 NFT 被盗,丢失超越 78 万美元;
2023 年 2 月 8 日,一名受害者因一个存在已久的 NFT 垂钓骗局,衔接到垂钓地址,丢失超越 1,200,000 美元的 USDC;
……
鉴于 NFT 被盗的频发和影响严重性,慢雾科技针对 NFT 垂钓团伙发布两次针对性追寻剖析:
2022 年 12 月 24 日,慢雾科技初次全球发表《朝鲜 APT 大规模 NFT 垂钓剖析》, APT 团伙针对加密生态的 NFT 用户进行大规模垂钓活动,相关地址已被 MistTrack 符号为高危险垂钓地址,买卖数也十分多,APT 团伙共收到 1055 个 NFT,售出后获利近 300 枚 ETH。
2023 年 2 月 10 日,慢雾科技再次发布《数千万美金大盗团伙 Monkey Drainer 的神秘面纱》,据 MistTrack 相关数据计算,Monkey Drainer 团伙经过垂钓的方法合计获利约 1297.2 万美元,其中垂钓 NFT 数量 7,059 个,获利 4,695.91 ETH,约合 761 万美元,占所获资金份额 58.66%;ERC20 Token 获利约 536.2 万美元,占所获资金份额 41.34%,其中主要获利 ERC20 Token 类型为 USDC, USDT, LINK, ENS, stETH。
除此之外,据慢雾区块链被黑事情档案库(Hacked.slowmist.io)和 Elliptic 的数据计算,截止 2023 年 1 月,NFT 被盗的闻名安全事情有几百起,进犯者偷走了价值近 2 亿美元的 NFT。
据 SlowMist 数据显示,2022 年 NFT 偷盗案主要会集在 Ethererum 链,发生在交际媒体渠道上,经过虚伪域名、项目方相似域名、歹意木马、Discord 侵略发布虚伪链接垂钓等方法进行进犯,欺诈者均匀每次偷盗 10 万美元。似乎不管牛市仍是熊市,只要黑客在 “0 元购” 赚的盆满钵满。
那么问题来了:不管是普通用户仍是项目方创始人都屡遭垂钓进犯,面对如此恶劣的 NFT 垂钓、欺诈环境,NFT 用户是不是就毫无办法?用户便是待宰的羔羊吗?
No!现在咱们安全防护一直推广人防+技防的方法,即人员安全意识防护+技术方法防护。人员安全意识防护即个人安全意识,主张加密钱银从业者能够学习下区块链黑暗森林自救手册:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/
鉴于人是个复杂的高等动物,所以人员安全意识防护咱们今日不展开讲,大家区块链黑暗森林自救手册好好读一下。
而技术防护方法又是什么?简单讲便是经过软硬件、浏览器插件等安全方法来确保资产等安全,而在 NFT 用户群体,浏览器交互是 90% 的 NFT 用户最常用的操作方法,也是最容易出现问题的环境,现在市场上现已有多款防垂钓浏览器插件,下面咱们来盘点与比照下,希望能给 NFT 用户一些安全指引。
安全插件比照
免责提示:以下比照的几款浏览器安全插件仅从根本信息层、NFT 实时垂钓检测层、根本操作层进行比照,慢雾仅作为中立第三方,不承当任何责任和法律责任。
下面咱们来从几个角度评比下几款咱们熟悉的防垂钓浏览器插件,看看他们各自都有哪些特色:
1、是否开源、装置次数、支持链、主要功能描述:
2、NFT 垂钓网站、实时黑名单实在测验:
咱们找最常见的朝鲜 APT NFT 垂钓特征和 Monkey Drainer NFT 垂钓特征,进行实时特征扫描,找到团伙最新的垂钓网站,发现时差 3 小时左右,来看下各个防垂钓插件的反应状况:
最新歹意 NFT 垂钓站点:https://blur.do (发现时刻为北京时刻 2020-02-19 17:32:12)
下面为测验内容:
1 - PeckShieldAlert(Aegis)
成果:无任何提示,仍正常翻开垂钓网站。
2 - Pocket Universe
成果:无任何提示,仍正常翻开垂钓网站。
3 - Revoke.cash
成果:无任何提示,仍正常翻开垂钓网站。
4 - Fire
成果:无任何提示,仍正常翻开垂钓网站。
5 - Scam Sniffer
成果:提示垂钓网站并阻止拜访垂钓网站。
6 - Wallet Guard
成果:无任何提示,仍正常翻开垂钓网站。
7 -MetaDock
成果:无任何提示,仍正常翻开垂钓网站。
8 - Metashield
成果:无任何提示,仍正常翻开垂钓网站。
9 - Stelo
成果:无任何提示,仍正常翻开垂钓网站。
为了测验 NFT 站点垂钓的实时性、实在性,9 个装置的插件展示如下:(Ps:Wallet Guard 已展示出我所装置的插件。)
以上是以 3 小时时差等级的实在 NFT 垂钓网站成果。
3、根本操作层测验内容
1-PeckShieldAlert(Aegis)
装置后是让用户自己输入一个 Token Contract 来检测,这种方法不契合现在 NFT 用户急于第一时刻知道站点是否是垂钓网站的需求。它更像一个在线歹意合约扫描器插件。
personal_sign 测验:无提示。
2 - Pocket Universe
装置后能够知道逻辑用户触发买卖时开端检测,所以在第一步用户翻开 NFT 垂钓网站时,是不能第一时刻提示用户的。咱们来看下第二步:
personal_sign 测验:提示用户现已依据链上地址辨认出危险地址,让用户不要签名,仍是不错的,契合安全插件预期。
3 - Revoke.cash
第一步没有标示出 NFT 垂钓网站,在第二步用户衔接垂钓网站后,依据链上地址辨认出危险地址,提示用户不要签名。契合安全插件预期。
personal_sign 测验:
4 - Fire
第一步没有标示出 NFT 垂钓网站,在第二步用户衔接垂钓网站后,依据链上地址没有辨认出危险地址,也没有提示签名危险。但是 Fire 能够把签名预履行内容可读性显示出来,这点比较不错。
personal_sign 测验:无提示。
5 - Scam Sniffer
装置后用户拜访 NFT 垂钓网站时,直接提示危险并阻断了拜访垂钓网站。契合安全插件预期。
personal_sign 测验:无提示。
6 - Wallet Guard
装置后是在用户触发买卖时开端检测,所以在第一步用户翻开 NFT 垂钓网站 时,不能第一时刻提示用户,咱们来看下第二步:
personal_sign 测验:提示用户现在现已符号到这个垂钓网站(发现 Wallet Guard 有运用 Scam Sniffer 的歹意地址库),提示有危险,不要签名,仍是不错的。契合安全插件预期。
7 - MetaDock
装置后用户衔接垂钓网站,垂钓网站骗得用户签名时,插件仍旧没什么提示,无任何危险提示。更像是需求用户自动去提交扫描的方法,不契合安全插件预期。可能 MetaDock 不是一个防垂钓插件?有兴趣的小伙伴能够找项目方确认下。
personal_sign 测验:无提示。
8 - Metashield
装置后与 “MetaDock”、 “PeckShieldAlert” 相似,用户衔接垂钓网站,垂钓网站骗得用户签名时,插件仍旧没什么提示,无任何危险提示。需求用户自动去提交扫描的方法,不契合安全插件预期。
personal_sign 测验:无任何提示。
9 - Stelo
装置后用户衔接垂钓网站,垂钓网站骗得用户签名时,插件仍旧没什么提示,无任何危险提示。
personal_sign 测验:歹意信息提示为低危险。不契合安全插件预期。
至此,比照完毕。
终究比照成果
下图为终究比照成果:
在比照后,咱们发现在第一步(用户翻开垂钓网站)的辨认上大都安全插件都做得不够好,只要 Scam Sniffer 辨认到了这个 3 小时时差的最新 NFT 垂钓网站,在第二步(用户衔接垂钓网站)开端 eth_sign、personal_sign 签名等危险操作时,Pocket Universe、Revoke.cash、Wallet Guard 均做出了安全危险辨认等提示。
但这仅仅现在的根底比照项,未来可能会进一步细化。
测验的安全插件名称及版本号如下图:
在此感谢吴说区块链的抛砖引玉;感谢以上优异的插件项目方,虽然产品定位、比照成果各不相同,不少仍有改进的空间,但是他们的尽力让区块链安全更进一步!
除此之外,推荐一个运用组合 (不构成任何主张):
1、Rabby wallet + Scam Sniffer
2、Rabby wallet + Pocket Universe
3、MetaMask+ Pocket Universe
4、MetaMask+ Revoke.cash
写在最后
纵观区块链职业的垂钓进犯,对个人用户来说,危险主要在 “域名、签名” 两个核心点,其中 90% 的 NFT 垂钓都跟虚伪域名有关。对用户来说,在进行链上操作前,提前了解方针地址的危险状况是十分必要的,如果用户在翻开一个垂钓页面时,相关的浏览器安全插件或钱包就能直接提示危险,这样就能够把危险阻断在第一步,直接阻断了用户后边的危险。就像 Web2 世界中 360 时代,直接解决了其时小白用户被病毒进犯的困扰,但它也并非解决了一切木马病毒问题,由于病毒的查杀和病毒的免杀(一种专业的躲避杀毒软件查杀技术,能够自行 Google 了解)永远存在时刻差,如何做到时刻差更小、样本数更快、辨认更精准就决议了杀毒软件的凶猛程度。
同样,在区块链、NFT 职业,如何能第一步辨认、提示到垂钓站点的实时状况,在用户端快速反应、辨认出垂钓网站,就决议了一款防垂钓安全插件的才能;而如果相关产品由于时刻差的问题没有在第一步辨认到这些垂钓域名,用户丢币的危险就大大增加;那么接下来到第二步,用户交互时授权链接、签名步骤,如果浏览器安全插件或钱包有骗签辨认,能够辨认、友好的展示出用户要签名的详细信息,如授权什么币种、授权多少、授权给谁等人类可读数据,比方 Rabby Wallet,在必定程度上也能够提示危险,必定程度上能够防止陷入资金丢失的境地。
对钱包项目方来说,首先是需求进行全面的安全审计,重点提高用户交互安全部分,加强所见即所签机制,削减用户被垂钓危险,如:
-
垂钓网站提示:经过生态或者社区的力气会聚各类垂钓网站,并在用户与这些垂钓网站交互的时候对危险进行夺目地提示和告警。
-
签名的辨认和提示:辨认并提示 eth_sign、personal_sign、signTypedData 这类签名的请求,并重点提示 eth_sign 盲签的危险。
-
所见即所签:钱包中能够对合约调用进行详尽解析机制,防止 Approve 垂钓,让用户知道 DApp 买卖构造时的详细内容。
-
预履行机制:经过买卖预履行机制能够协助用户了解到买卖广播履行后的效果,有助于用户对买卖履行进行预判。
-
尾号相同的欺诈提示:在展示地址的时候夺目的提示用户查看完好的方针地址,防止尾号相同的欺诈问题。设置白名单地址机制,用户能够将常用的地址加入到白名单中,防止相似尾号相同的进犯。
-
AML 合规提示:在转账的时候经过 AML 机制提示用户转账的方针地址是否会触发 AML 的规矩。
此时快讯
【2023-02-21 14:42】【表情包艺术家Mavensbot收到比特币NFT社区6个BTC奖励】2月21日消息,区块链分析师Udi Wertheimer发文称,比特币NFT社区已向表情包艺术家Mavensbot发送了6个比特币,以奖励其在比特币meme NFT上做出的贡献。据了解,Mavensbot曾于2013年创建了比特币巫师形象,为比特币subreddit带来了前所未有的主流关注。