Oszustwa i kradzieże NFT stały się coraz bardziej powszechne – oto kroki, które możesz podjąć, aby im zapobiec.
Ubiegły rok był bezprecedensowy dla NFT. Począwszy od kolekcji blue-chipów, poprzez celebrytów, którzy się do nich przyłączyli, aż po ogromny napływ członków społeczności, przestrzeń ta przeżyła meteoryczny wzrost w porównaniu do sytuacji sprzed 12 miesięcy.
Chociaż przyniosło to płynność, możliwości i ogromny potencjał wzrostu, przyciągnęło również potencjalnych oszustów. Ze względu na zdecentralizowaną naturę świata NFT, wielu z nich było narażonych na liczne oszustwa. A w wielu przypadkach niewiele można było zrobić, by im przeciwdziałać.
Oszuści stają się coraz bardziej wyrafinowani, a każdego dnia ktoś pisze na Twitterze o utracie swoich najcenniejszych cyfrowych klejnotów. Kolekcjonerzy muszą być bardziej ostrożni niż kiedykolwiek. Oto jak.
Prime targets
Przestrzeń NFT jest wciąż w fazie eksperymentalnej; wielu porównuje ją do Dzikiego Zachodu. Nie ma tam nadrzędnego wsparcia dla klientów, więc nie można zgłaszać strat „władzom”. Mimo to, przestrzeń ta wygenerowała miliardy dolarów w 2021 roku. To właśnie sprawia, że jest to doskonała pożywka dla oszustów.
Tak zwane „blue chipy” NFT są najczęściej atakowane, być może nie częściej niż Bored Ape Yacht Club, który obecnie szczyci się ceną minimalną 96 ETH. Oznacza to, że oszust może zgarnąć setki tysięcy dolarów za pomocą jednego kliknięcia. W przestrzeni zbudowanej na silnym poczuciu wspólnoty i pozytywności, anonimowym oszustom wciąż przerażająco łatwo jest przeniknąć do rozmów i manipulować posiadaczami. Wszystko, czego naprawdę potrzeba, to jeden chwilowy błąd w ocenie sytuacji.
Blockchain i NFT zapewniają autonomię, ale oznacza to również, że jesteśmy odpowiedzialni za nasze aktywa – żaden bank nie pilnuje ich za Ciebie. Zrozumienie różnych rodzajów oszustw pomoże zachować bezpieczeństwo Twoich NFT.
Typy oszustw
Fałszywe strony mennicze
Często podczas bardzo oczekiwanych dropów NFT, wyskakuje wiele stron OpenSea, co może utrudnić weryfikację, która z nich jest prawdziwą kolekcją, zwłaszcza jeśli kolekcja nie jest zweryfikowana. W obliczu narastającego FOMO i upływającego czasu, wielu kolekcjonerów nie podejmuje dodatkowego kroku w celu potwierdzenia, skąd pochodzą aktywa i wybija niewłaściwe NFT.
Wkrótce potem, nielegalna kolekcja zostaje usunięta z OpenSea wraz z NFT, ale oszuści nadal mają pieniądze kupującego. Taka sytuacja miała ostatnio miejsce w przypadku Punks Comic, gdzie wiele osób dało się nabrać na wybijanie monet z fałszywej strony OpenSea, tracąc setki dolarów.
Steps to take
- Nigdy nie klikaj na nieweryfikowalne linki.
- Podwójnie sprawdź domenę linku – stronę oszustwa można często odróżnić po jednym znaku.
- Potwierdź, że korzystasz ze zweryfikowanego linku, wchodząc najpierw na Twittera lub Discorda oficjalnej kolekcji.
Fałszywe zrzuty
Dzięki temu, że NFT istnieją na blockchainie, adres Twojego portfela jest publiczny dla wszystkich, podobnie jak każdy Twój ruch. Oznacza to, że każdy może wejść w interakcję z Twoim kontem i może wysłać NFT do Twojego portfela bez pytania – tak jak w przypadku zrzutu.
Oszuści często wysyłają NFT do Twojego portfela, aby nakłonić Cię do interakcji z nimi oraz w celu uzyskania Twoich danych osobowych, dlatego najlepiej jest nie wchodzić w interakcję z żadnymi nowymi NFT, dopóki nie zweryfikujesz ich pochodzenia.
Impersonacja
Podszywanie się jest prawdopodobnie najbardziej złośliwym oszustwem, które może wiązać się z różnymi metodami.
Ostatnio zwrócono moją uwagę na konto na Twitterze, które miało moje zdjęcie profilowe, kopię mojego bio, tweetowało kilka identycznych tweetów jak moje własne i zgromadziło 5000 obserwujących. Jedyna różnica między moim kontem a fałszywy jeden było to, że fałszywy jeden nazwa użytkownika zawiera dodatkowe s: NFTs1nsight zamiast NFT1nsight. To konto mogło łatwo oszukać kogoś, kto nie widział mojego prawdziwego konta.
Nie mogę być pewien, w jaki sposób konto było używane, ani czy DM-y były wysyłane do potencjalnych ofiar oszustwa, ale mogę tylko przypuszczać, że zostało stworzone złośliwie. Takie oszustwa stają się coraz bardziej powszechne, a niektóre fałszywe konta dodają tysiące followersów, aby wyglądać bardziej realnie.
Steps to take
- Mieć dużo followersów nie oznacza, że konto jest prawdziwe.
- Zawsze sprawdzaj podwójnie uchwyty na Twitterze i kto śledzi konto.
- Jeśli sprawdzisz, że to fałszywe konto, zgłoś je na Twitterze.
Są też podszycia pod marki, gdzie oszuści podobnie tworzą profil, aby oferować wsparcie ofiarom włamań, często na Discordzie lub Twitterze.
Fałszywe linki
Oszuści wysyłają fałszywe oferty OpenSea na pocztę elektroniczną, prosząc odbiorców o kliknięcie przycisku „zobacz”. Te linki często przenoszą Cię na fałszywą stronę z prośbą o podanie Twojego portfela i frazy nasion. (Nigdy, przenigdy nie wysyłaj komuś swojego seed phrase.) Podobne oszustwa są powszechne na Discordzie. Gdy oszust ma już Twoje dane, przeniesie wszystkie Twoje aktywa do innego portfela i sprzeda je – i nie ma sposobu, aby go powstrzymać. Będziesz musiał się ścigać, aby ocalić jak najwięcej NFT.
Wielu oszustów sprzedaje NFT po zaniżonych cenach tylko po to, aby je rozładować, a podejrzliwi kupujący mogą je po prostu zgarnąć, zamiast zapytać, w jaki sposób sprzedawca je nabył. Czasami wysiłki społeczności mogą pomóc w udaremnieniu tego procederu, ale nie zawsze.
Jenkins impostor: Studium przypadku
Niedawno serwer Discord prominentnego projektu NFT Jenkins the Valet został skompromitowany przez hakerów po tym, jak moderator udostępnił swój ekran i udało im się zablokować Discord, banując modów i samych założycieli. Hakerzy podszyli się pod Jenkinsa, co umożliwiło im podrzucenie fałszywego linku do mennicy, który wielu członków uważało za prawdziwy. Nie tylko link był niemal identyczny jak na oryginalnej stronie, hakerzy stworzyli również scenę do rozmowy o mennicy, banując każdego, kto kwestionował autentyczność tego, co się działo.
Niestety, wielu dało się na to nabrać, a społeczność została oszukana na kilkadziesiąt ETH.
Główny moderator został oszukany przez oszustów poprzez Discord DMs, którzy oskarżyli go, że sam jest oszustem. W chwili paniki i dezorientacji, próbował udowodnić swoją niewinność, dzieląc się swoimi wiadomościami. Udostępnił swój ekran, co pozwoliło oszustom włamać się na jego Discorda i przejąć kontrolę nad serwerem.
Drugim problemem było to, że Jenkins nie miał pełnej własności serwera. Z tego powodu został zbanowany, co byłoby niemożliwe, gdyby był właścicielem serwera. Od tego czasu uprawnienia i własność zostały przeniesione, a kontrola została odzyskana, co powinno pomóc w zapobieganiu przyszłym oszustwom.
Zespół Jenkinsa zareagował zdecydowanie w odpowiedzi na włamanie, restartując Discorda od góry do dołu, wprowadzając moderację 24/7 za pomocą botów, przeprowadzając audyt i rekompensując wszystkim, którzy stracili ETH w oszustwie. Jenkins oddał również jeden Bored Ape Kennel Club NFT jako sposób na przeprosiny za ten niefortunny incydent.
Niewielkim plusem jest to, że hack oznacza, że są teraz lepiej przygotowani do walki z przyszłymi oszustami.
Istnieje hack/oszust (omija 2fa), którego oszuści używają do przejęcia kont discord. Jeśli jesteś założycielem/adminem projektu, to jest to WAŻNE.
Nasz serwer właśnie został zaatakowany.
Here’s how, a
– Little Lemon Friends (@LittlelemonsNFT) January 3, 2022
Najlepsze praktyki bezpieczeństwa
Oto więcej sposobów na zapewnienie bezpieczeństwa Twoim aktywom:
- Upewnij się, że sprawdziłeś linki przed ich kliknięciem – nigdy nie klikaj na przypadkowe lub uszkodzone linki wysłane z nieznanych źródeł.
- Nigdy nie udostępniaj swojego ekranu.
- Przed wybiciem czegokolwiek, upewnij się, że sprawdziłeś adres kontraktu, który powinien określać miejsce wybicia NFT. Jeśli został on zweryfikowany przez OpenSea, powinien być legalny. Jeśli wygląda zbyt dobrze, by było prawdziwe, prawdopodobnie jest.
- Nigdy nie dziel się z nikim swoją frazą odzyskiwania.
- Przechowuj frazę seed z dala od telefonu i komputera – przechowuj ją w trybie offline („cold storage”), z wieloma kopiami w bezpiecznych miejscach.
- Zawsze potwierdzaj, że dokonujesz miningu na sprawdzonej stronie internetowej.
- Dla wielu osób łatwiej i bezpieczniej jest całkowicie wyłączyć Discord DMs z powodu botów i oszustów nadużywających ich.
- Zaznaczaj zweryfikowane strony jak OpenSea- pomoże to uniknąć lądowania na fałszywych stronach.
- Jeśli potrzebujesz pomocy, nigdy nie otrzymasz DM jako pierwszy – zwracaj się po pomoc do oficjalnych stron, a nie do mediów społecznościowych.
- Zadawaj pytania zaufanym przyjaciołom, zwracaj się po odpowiedzi do oficjalnych zespołów i nie bój się zadawać pytań, których priorytetem jest Twoje bezpieczeństwo i ochrona.
- Używaj dwuskładnikowego uwierzytelniania, czyli dodatkowej warstwy zabezpieczeń.
- Używaj silnych i unikalnych haseł – rozsądnie jest używać innego hasła za każdym razem, gdy zakładasz konto.
- Używaj portfela sprzętowego, takiego jak Ledger lub Trezor – te zimne portfele są offline, więc nikt nie może uzyskać do nich dostępu poza Tobą poprzez Twój klucz prywatny.
- DYOR. Zanim zrobisz cokolwiek w świecie NFT, upewnij się, że sprawdziłeś kolekcję, sprzedawcę, umowę, link i inne szczegóły.
On Securing your NFTs
W tym tygodniu przyjrzałem się 5 różnym przypadkom naruszenia portfeli i kradzieży NFT od ich właścicieli.
Za każdym razem, gdy to się dzieje, łamie mi się serce, ale schematy są zawsze takie same.
1/ Poniżej kilka zasad, którymi należy się kierować, aby pozostać bezpiecznym
– richerd.eth ᵍᵐ (マ,マ) (@richerd) 2 lutego 2022
Zawsze zachowaj czujność w przestrzeni NFT. Jeden krótki błąd w ocenie sytuacji może oznaczać różnicę między pełnym portfelem a pustym portfelem.
