注:原文来自bankless,作者是William M. Peaster。
黑客正在探索NFT Discord以寻找弱点,本周,我们看到了一个悲剧例子,当时CreatureToadz的Discord暂时遭到了攻击。
在事件发生期间,黑客利用这个机会发布了一个虚假的“隐形drop”链接,这个链接似乎指向的是一个NFT 铸造界面,然后受害者花费了ETH(他们以为自己在铸造NFT),而实际上所有的钱都直接转到了攻击者的地址,而没有铸造出任何NFT。
DeFiBox安全提醒:警惕Heco链上APN假币风险:DeFi门户网站DeFiBox项目监测发现,目前Heco上搜索到的APN代币为假冒APN项目假币,且买入假币的用户无法卖出,安全风险极高。据了解,目前APN项目Token并未在Heco发行。
DeFiBox提醒广大用户全面了解项目信息,注意查看Token合约辨别真伪,杜绝假币风险。[2021/4/22 20:48:48]
幸运的是,CreatureToadz 团队重新控制了 Discord,并将对受影响的参与者进行补偿。然而,这起事件提醒了我们,作为NFT铸币者,我们必须要保持警惕,事实上,越来越多的黑客将我们当成了目标。
动态 | 警惕有比特币局正通过社交媒体Discord渠道传播:和Billaxy网站相关的比特币局正通过社交媒体Discord渠道传播,该局称,只要在Billaxy网站注册,就能以当前价格获得0.25枚比特币。(Bitcoinist)[2019/9/20]
对于今天的帖子,我收集了一些安全铸造 NFT 的技巧。总而言之,这些技巧可以帮助你避免或最大程度地减少NFT铸造面临的安全问题。
首先声明,我并不认为这是安全铸造NFT的综合“最佳实践”,因为我可能错过了一些想法。但至少,以下提示可以对你有所帮助。
一般而言,实现 NFT 安全性的第一步是熟悉 NFT 用户目前面临的主要局,当前和未来的局可能会从这些类型的伎俩演变而来。
声音 | 天津法院张伟:警惕以投资虚拟货币、区块链等为幌子的局:据新华网消息,近年来,非法吸收公众存款、集资等非法集资案件带来诸多不良影响。天津市第一中级人民法院刑二庭副庭长张伟提醒,老百姓遇到以下情况之一的,务必要提高警惕:(1)以赚外快、消费返利为幌子的;(2)以投资境外股权、期权、外汇、贵金属等为幌子的;(3)以投资养老产业可获高额回报或免费养老为幌子的;(4)以私募入股、合伙办企业为幌子而不办理企业工商登记的;(5)以投资虚拟货币、区块链等为幌子的;(6)以扶贫、慈善、互助为幌子的;(7)在街边、小区、商场、超市等违法违规发放广告的;(8)以组织考察、旅游、讲座等方式招揽老年群众的:(9)投资、理财公司网站及服务器在境外的;(10)要求以现金方式或向个人账户、境外账户缴纳投资款的。[2019/9/3]
正如 MyCrypto 在其有用的《常见 NFT局》指南中所指出的那样,攻击媒介可以包括艺术家或品牌冒充、虚假店面等。
声音 | 慢雾:警惕“假充值”攻击:慢雾分析预警,如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷,可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS,而且这些 EOS 可以进行正常交易。
慢雾安全团队已经确认真实攻击发生,但需要注意的是:EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似,更多责任应该属于平台方。由于这是一种新型攻击手法,且攻击已经在发生,相关平台方如果对自己的充值校验没有十足把握,应尽快暂停 EOS 充提,并对账自查。[2019/3/12]
技巧一:使用专用的铸造钱包
假设你会使用一个主要的钱包,你会在其中存放自己最好的加密艺术品,发布你的Mirror博客,并处理你大部分的DeFi 活动。
在某些情况下,不法分子可能会滥用或破坏用户授予这些项目的权限以窃取资金。
“事实上,有些网站的创建意图是在用户授予其钱包访问权限后窃取资金/NFT?,所以要小心你连接到的Dapp/网站......”
因此,将围绕铸造新收藏品的风险隔离到一个副钱包中,其中你只存放自己一小部分的加密资产,是提高NFT 安全性的一种简单方法。
技巧二:定期清理你的代币授权
说到权限授予,定期进行清理是一个好主意,同样,用户通常会向 NFT 项目授予支出批准,以便与它们进行交互。在最坏的情况下,这些支出批准是无限额度的,因此可能会被攻击者利用。
好消息?现在你可以使用Etherscan的简单Token Approvals Checker 工具来清理有风险的授权批准,此外还有其他类似的工具。
技巧三:注意“Sending ETH”
“如果你在网站上铸造时看到此内容,请仔细检查你的链接,仔细检查你的URL,仔细检查一切。
如果你尝试mint一个新项目NFT,并且看到“Sending ETH”出现在你的MetaMask交互界面,请离开,这是一个局!
这就是本周早些时候 在CreatureToadz 项目身上发生的情况。一名黑客破坏了 Discord, 然后发布了一个虚假的机器人公告,并从受害者(认为自己铸造了CreatureToadz的人)那里偷偷收集了ETH。
技巧四:寻找官方信息
不要相信 Discord 机器人的公告,要寻找来自项目负责人、管理员、版主等官方人员的通讯,并跨多个渠道(例如Discord、Twitter、社区讨论等)证实铸造公告和其他重要信息。如果某个随机的人私信你并谈论“即将到来的NFT发布”,请直接无视。
技巧五:铸造后,请注意假货
假设一个备受期待的 NFT 项目刚刚售罄,而你错过了铸造,如果你想收藏这个系列的NFT,你会赶到 OpenSea等二级市场上参与交易。
而者会利用上述动态,通过推出假冒的盗版NFT收藏来进行。
OpenSea 在快速清理这些列表方面做得很好,但在这些早期的机会窗口中,你必须要保持警惕。
我们是NFT 前沿的先驱,这里不乏刺激,但也有很多风险。遵循上述提示,并多次检查 URL 和合约地址等内容,这将大大有助于确保你的NFT收藏流程保持安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。