Измамите и кражбите на НФТ стават все по-разпространени – ето какви стъпки можете да предприемете, за да ги предотвратите.
Последната година беше безпрецедентна за НФТ. От колекциите на сини чипове, през присъединяването на известни личности до огромния приток на членове на общността, пространството преживя стремглав възход в сравнение с преди 12 месеца.
Въпреки че това донесе ликвидност на пространството, възможности и огромен потенциал за растеж, то привлече и потенциални измамници. Поради децентрализирания характер на света на НФТ мнозина са останали уязвими за редица измами. И в много случаи никой не е могъл да направи почти нищо, за да им противодейства.
Измамниците стават все по-изобретателни и всеки ден някой пише в Туитър, че е загубил най-ценните си цифрови скъпоценности. Колекционерите трябва да бъдат по-предпазливи от всякога. Ето как.
Основни цели
Пространството на НФТ все още е в експериментален стадий; мнозина го сравняват с Дивия запад. Няма всеобхватна поддръжка на клиенти, така че не можете да докладвате загубите на „властите“. Въпреки това пространството все още генерира милиарди долари през 2021 г. Точно това го прави идеална среда за развъждане на измамници.
Така наречените НФТ със „сини чипове“ са обект на най-много атаки, може би никоя от тях не е по-честа от Bored Ape Yacht Club, която сега може да се похвали с минимална цена от 96 ETH. Това означава, че един измамник може да спечели стотици хиляди долари с едно кликване. В пространство, изградено върху силно чувство за общност и позитивност, все още е плашещо лесно за анонимните измамници да проникнат в разговорите и да манипулират притежателите. Достатъчно е само едно мигновено разминаване в преценката.
Блокчейнът и НФТ предоставиха автономност, но това също така означава, че сме отговорни за активите си – никоя банка не ги пази вместо вас. Разбирането на различните видове измами ще ви помогне да запазите своите НФТ в безопасност.
Типове измами
Фалшиви страници с монети
Често по време на дългоочакваните падания на НФТ се появяват редица страници OpenSea, което може да затрудни проверката коя е легитимната колекция, особено ако колекцията не е проверена. С надигащата се FOMO и изтичащото време много колекционери не успяват да направят допълнителната стъпка за удостоверяване на това откъде са изсечени активите и изсичат грешната NFT.
Скоро след това нелегитимната колекция се премахва от OpenSea заедно с този НФТ, но измамниците все още разполагат с парите на купувача. Наскоро това се случи с Punks Comic, където мнозина бяха подмамени да правят монетите си от фалшива страница на OpenSea, губейки стотици долари.
Стъпки, които да предприемете
- Никога не кликвайте върху непроверими връзки.
- Двойно проверявайте домейна на връзката – измамният уебсайт често може да се различи само по един различен символ.
- Потвърдете, че изкопавате проверената връзка, като първо отидете в Twitter или Discord на официалната колекция.
Фалшиви въздушни капки
Поради съществуването на NFT в блокчейна адресът на портфейла ви е публичен за всички, както и всяка ваша стъпка. Това означава, че всеки може да взаимодейства с вашия акаунт и може да изпраща NFT към портфейла ви, без да ви пита – като при airdrop.
Измамниците често изпращат NFT към портфейла ви, за да ви накарат да взаимодействате с тях и да се опитат да получат личните ви данни, така че е най-добре да не взаимодействате с нови NFT, ако не сте проверили произхода им.
Олицетворение
Имперсонификацията е може би най-зловредната измама и може да включва различни методи.
Неотдавна ми беше обърнато внимание на акаунт в Twitter, който имаше моята профилна снимка, копие на биографията ми, беше публикувал няколко идентични туита с моите и беше събрал 5000 последователи. Единствената разлика между моя и фалшивия акаунт беше, че потребителското име на фалшивия акаунт включваше допълнително „с“: NFTs1nsight вместо NFT1nsight. Този акаунт можеше лесно да заблуди някой, който не е виждал истинския ми акаунт.
Не мога да бъда сигурен как е бил използван акаунтът и дали са били изпращани DM-и на потенциални жертви на измамата, но мога само да предположа, че е бил създаден злонамерено. Подобни измами стават все по-често срещани, като някои фалшиви акаунти добавят хиляди последователи, за да изглеждат по-реални.
Стъпки, които да предприемете
- Наличието на много последователи не означава, че даден акаунт е истински.
- Винаги проверявайте двойно дръжките в Twitter и кой следва акаунта.
- Ако се уверите, че акаунтът е фалшив, докладвайте го на Twitter.
Съществуват и имитации на марки, при които измамниците по подобен начин създават профил, за да предлагат подкрепа на жертвите на хакерски атаки, често в Discord или Twitter.
Фалшиви връзки
Печеларите изпращат фалшиви оферти на OpenSea на имейлите на хората, като искат от получателите да кликнат върху бутона „Преглед“. Тези линкове често ще ви отвеждат до фалшива страница, която иска от вас портфейла и фразата за семена. (Никога не пращайте на някого своята фраза за семената.) Подобни измами са широко разпространени в Discord. След като измамникът получи информацията ви, той ще прехвърли всичките ви активи в друг портфейл и ще ги продаде – и няма как да го спрете. Ще се окажете в надпревара да спасите колкото се може повече НФТ.
Много измамници продават NFTs на занижени цени само за да ги разтоварят, а подозрителните купувачи могат просто да ги вземат, вместо да попитат как продавачът ги е придобил. Понякога усилията на общността могат да помогнат за осуетяване на това, но не винаги.
Дженкинс самозванец: Един пример
Наскоро Discord сървърът на известния NFT проект Jenkins the Valet беше компрометиран от хакери, след като модератор сподели своя екран и те успяха да блокират Discord, забранявайки модовете и самите основатели. Хакерите са се представили за Дженкинс, което след това им е позволило да пуснат фалшив линк към скрит менте дроп, който много членове са сметнали за легитимен. Връзката не само беше почти идентична с тази на оригиналния сайт, но хакерите създадоха и сцена, на която да се говори за ментето, като забраниха достъпа на всеки, който се усъмни в автентичността на случващото се.
За съжаление мнозина се хванаха на това и общността беше измамена с няколко десетки ETH.
Водещият модератор беше подмамен от измамници чрез DM в Discord, които го обвиниха, че самият той е измамник. В момент на паника и объркване той се опита да докаже невинността си, като сподели съобщенията си. Той споделил екрана си, което позволило на измамниците да хакнат неговия Discord и да поемат контрола над сървъра.
Вторият проблем е, че Дженкинс не е имал пълна собственост върху сървъра. Поради тази причина той е бил баннат, което би било невъзможно, ако притежаваше сървъра. Оттогава разрешенията и собствеността са прехвърлени и контролът е възстановен, което би трябвало да помогне за предотвратяване на бъдещи измами.
Екипът на Дженкинс реагира решително в отговор на хакерската атака, като рестартира Discord-а си отгоре надолу, въведе 24/7 модериране чрез ботове, проведе одит и обезщети всички, които са загубили ETH при измамата. Дженкинс също така раздаде един НФТ на Bored Ape Kennel Club като начин да се извини за злополучния инцидент.
Малка положителна страна е, че хакването означава, че сега те са по-добре подготвени за борба с бъдещи измамници.
Има хак/измама (заобикаля 2fa), която измамниците използват, за да компрометират акаунти в Discord. Ако сте основател/администратор на проект, това е ВАЖНО.
Нашият сървър току-що беше атакуван.
Ето как, а
– Little Lemon Friends (@LittlelemonsNFT) January 3, 2022
Най-добри практики за сигурност
Ето още начини да защитите активите си:
- Уверете се, че сте проверили връзките, преди да щракнете върху тях – никога не щраквайте върху случайни или повредени връзки, изпратени от непознати източници.
- Никога не споделяйте екрана си.
- Преди да изкопаете каквото и да било, не забравяйте да проверите адреса на договора, в който трябва да е посочено къде е изкопана НФП. Ако е бил проверен в OpenSea, би трябвало да е легитимен. Ако изглежда твърде хубаво, за да е истина, вероятно е.
- Никога не споделяйте фразата си за възстановяване с никого.
- Дръжте началната си фраза далеч от телефона и компютъра си – съхранявайте я офлайн („студено хранилище“), с няколко копия на сигурни места.
- Винаги потвърждавайте, че сеченето се извършва на проверения уебсайт.
- За мнозина е по-лесно и по-безопасно да изключат напълно DM в Discord поради злоупотребата с тях от страна на ботове и измамници.
- Букмарк на проверени сайтове като OpenSea – това помага да се предотврати кацане на фалшиви страници.
- Ако имате нужда от помощ, никога няма да ви бъде изпратен първо DM – обръщайте се за помощ към официалните сайтове, а не към социалните мрежи.
- Задавайте въпроси на доверени приятели, обръщайте се към официалните екипи за отговори и не се страхувайте да задавате въпроси, които поставят на първо място вашата безопасност и сигурност.
- Използвайте двуфакторно удостоверяване – допълнително ниво на сигурност.
- Използвайте силни и уникални пароли – разумно е да използвате различна парола всеки път, когато създавате акаунт.
- Използвайте хардуерен портфейл, например Ledger или Trezor – тези студени портфейли са офлайн, така че никой друг освен вас няма достъп до тях чрез вашия частен ключ.
- DYOR. Преди да направите каквото и да било в света на НФТ, не забравяйте да проучите колекцията, продавача, договора, връзката и други подробности.
За защита на вашите НФТ
Тази седмица разгледах 5 различни случая на компрометиране на портфейли и кражба на НФТ от техните собственици.
Сърцето ми се къса всеки път, когато това се случи, но моделите винаги са едни и същи.
1/ По-долу са изброени някои правила, които да спазвате, за да сте в безопасност
– richerd.eth ᵍᵐ (マ,マ) (@richerd) February 2, 2022
Винаги бъдете бдителни в сферата на NFT. Един кратък пропуск в преценката може да означава разликата между пълен и празен портфейл.
