By: 山
“我不需要知道 Jerry 是誰,在網絡上做生意,你相信的就是網絡上的小面板,剝掉面板,你就知道這玩意實際上有多脆弱,而事實上在那網站后面操作的真人,他們才是你需要信任的人。“
——《別相信任何人:虛擬貨幣懸案》
2008 年 11 月 1 日,中本聰提出比特幣(Bitcoin)的概念,2009 年 1 月 3 日,比特幣正式誕生,而后隨著全球數字經濟加速發展,加密資產等概念爆熱,2012 年第一個類似 NFT 的通證 Colored Coin(彩色幣)誕生。彩色幣由小面額的比特幣組成,最小單位為一聰(比特幣的最小單位)。隨著技術的持續發展,時間一轉來到 2021 年,NFT 迎來了爆發性增長,逐步成為市場最熱的投資風向標之一。
藝術家 Beeple 的 NFT 作品《Everydays:The First 5000 Days》在佳士得官網上以 69,346,250 美元成交,虛擬游戲平臺 Sandbox 上的一塊虛擬土地以 430 萬美元售出……隨著水漲船高,層出不窮的高價項目持續刺激著人們的神經。然后在高價光環之下,NFT 也漸漸進入了犯罪分子的視野,從此開啟了針對 NFT 的瘋狂釣魚、盜竊等行動。
引言這段話出自 Netflix 的自制紀錄片《別相信任何人:虛擬貨幣懸案》,故事講述加拿大最大加密貨幣交易所 QuadrigaCX 首席執行官格里·科滕離奇死亡后,他將 2.5 億美元客戶資金密碼也帶進了墳墓。大量驚恐的投資者拒絕接受官方的說法,他們認為格里的“死亡”具有“金蟬脫殼”的所有特征:他還活著,已經帶著投資者的錢跑路了!
其實 QuadrigaCX 的故事只是 Web3 世界的冰山一角,而我們今天要聊的 NFT 世界里,被盜幾乎每天都在上演,列舉幾個知名案例:
2021 年 2 月 21 日,OpenSea 用戶遭到 personal_sign 類型網絡釣魚攻擊,有 32 位用戶簽署了來自攻擊者的惡意交易,導致用戶部分 NFT 被盜,包括 BAYC、Azuki 等近百個 NFT,按當時價格計算,黑客獲利 420 萬美元;
2022 年 4 月 29 日,周杰倫持有價值 320 萬元的無聊猿 NFT 被盜;
2022 年 5 月 25 日,推特用戶 @0xLosingMoney 稱監測到 ID 為 @Dvincent_ 的用戶通過發布釣魚網站 p2peers[.]io 盜走了 29 枚 Moonbirds 系列 NFT,價值超 70 萬美元;
2022 年 6 月 28 日,Web3 項目 Metabergs 創作者 Nickydooodles.eth 發推稱,黑客使用釣魚手段攻擊了他的錢包,損失了 17 枚 ETH(約合 21,077 美元)和全部 NFT 藏品,包括 Goblintown NFT、Doodles NFT、Sandbox Land 等;
報告:到2032年,全球食品和飲料NFT市場規模將超過20億美元:金色財經報道,Research and Market 的一份報告預測,到 2032 年,全球食品和飲料 NFT 市場將超過 20 億美元。報告稱,增長的關鍵支撐因素包括區塊鏈的采用以及食品行業對 NFT 透明度和可追溯性的需求。獨特的所有權機會、在虛擬現實和視頻游戲中使用 NFT以及食品公司和餐館的促銷和廣告是預計在預測期內推動市場的其他因素。在該行業內,必勝客和棒約翰等品牌在發布 NFT 系列后已經開始涉足該領域。[2023/8/3 16:15:13]
2022 年 11 月 1 日,KUMALEON 項目的 Discord 遭黑客入侵,攻擊者通過發布釣魚鏈接的方式實施攻擊,導致社區用戶大約 111 枚 NFT 被盜,包括 BAYC #5313 、ENS、ALIENFRENS 和 Art Blocks 等;
2021 年 12 月 31 日,推特用戶 Kramer 在推特稱其點擊了一個看起來像真的 NFT DApp 鏈接,結果這是一次網絡釣魚攻擊,他的 16 個 NFT 被盜,包括 8 個 Bored Apes、7 個 Mutant Apes 和 1 個 Clonex,價值 190 萬美元;
2023 年 1 月 15 日,知名博主 @NFT_GOD 因點擊谷歌上的釣魚廣告鏈接,導致所有賬戶(substack、twitter 等)、加密貨幣以及 NFT 被盜;
2023 年 1 月 26 日,NFT 知名項目 Moonbirds 創始人 Kevin Rose 的錢包被盜,丟失約 40 枚 NFT,損失超過 200 萬美元;
2023 年 1 月 28 日,NFT 知名項目 Azuki 官方 Twitter 賬號被黑,導致其粉絲連接到釣魚鏈接,超 122 枚 NFT 被盜,損失超過 78 萬美元;
2023 年 2 月 8 日,一名受害者因一個存在已久的 NFT 釣魚騙局,連接到釣魚地址,損失超過 1,200,000 美元的 USDC;
……
鑒于 NFT 被盜的頻發和影響嚴重性,慢霧科技針對 NFT 釣魚團伙發布兩次針對性追蹤分析:
2022 年 12 月 24 日,慢霧科技首次全球披露《朝鮮 APT 大規模 NFT 釣魚分析》, APT 團伙針對加密生態的 NFT 用戶進行大規模釣魚活動,相關地址已被 MistTrack 標記為高風險釣魚地址,交易數也非常多,APT 團伙共收到 1055 個 NFT,售出后獲利近 300 枚 ETH。
2023 年 2 月 10 日,慢霧科技再次發布《數千萬美金大盜團伙 Monkey Drainer 的神秘面紗》,據 MistTrack 相關數據統計,Monkey Drainer 團伙通過釣魚的方式共計獲利約 1297.2 萬美元,其中釣魚 NFT 數量 7,059 個,獲利 4,695.91 ETH,約合 761 萬美元,占所獲資金比例 58.66%;ERC20 Token 獲利約 536.2 萬美元,占所獲資金比例 41.34%,其中主要獲利 ERC20 Token 類型為 USDC, USDT, LINK, ENS, stETH。
NFT項目Okay Bears推出全新激勵計劃“Badges and Streaks”:2月18日,據官方推特,NFT項目Okay Bears宣布推出全新激勵計劃“Badges and Streaks”,讓NFT持有者獲得獎勵,Badges(徽章)可以通過達到某些里程碑來獲得,比如收集全部特征等,Streaks持有者分為三種類型,分別是GM streaks(使用Okay Bears平臺發送品牌推文的NFT持有人和非持有人都可以獲得參加定期抽獎活動)、rep streaks(已建立數字身份或代表Okay Bears IP的用戶可參與每周抽獎)和sleep streaks(可通過delist NFT來獲得實物或數字投放激勵)。[2023/2/18 12:14:20]
除此之外,據慢霧區塊鏈被黑事件檔案庫(Hacked.slowmist.io)和 Elliptic 的數據統計,截止 2023 年 1 月,NFT 被盜的知名安全事件有幾百起,攻擊者偷走了價值近 2 億美元的 NFT。
據 SlowMist 數據顯示,2022 年 NFT 盜竊案主要集中在 Ethererum 鏈,發生在社交媒體平臺上,通過虛假域名、項目方相似域名、惡意木馬、Discord 入侵發布虛假鏈接釣魚等手法進行攻擊,詐騙者平均每次盜竊 10 萬美元。似乎不論牛市還是熊市,只有黑客在 “0 元購” 賺的盆滿缽滿。
那么問題來了:不管是普通用戶還是項目方創始人都屢遭釣魚攻擊,面對如此惡劣的 NFT 釣魚、欺詐環境,NFT 用戶是不是就毫無辦法?用戶就是待宰的羔羊嗎?
No!現在我們安全防御一直推行人防+技防的手段,即人員安全意識防御+技術手段防御。人員安全意識防御即個人安全意識,建議加密貨幣從業者可以學習下區塊鏈黑暗森林自救手冊:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/
鑒于人是個復雜的高等動物,所以人員安全意識防御我們今天不展開講,大家區塊鏈黑暗森林自救手冊好好讀一下。
而技術防御手段又是什么?簡單講就是通過軟硬件、瀏覽器插件等安全方式來保證資產等安全,而在 NFT 用戶群體,瀏覽器交互是 90% 的 NFT 用戶最常用的操作方式,也是最容易出現問題的環境,現在市場上已經有多款防釣魚瀏覽器插件,下面我們來盤點與對比下,希望能給 NFT 用戶一些安全指引。
星巴克“ Holiday Cheer Edition 1 Stamp ”NFT競價已超2000美元:金色財經報道,星巴克NFT已在Nifty Gateway二級市場進行銷售。據平臺數據顯示,當前交易量達到360筆,交易總額超過14.3萬美元,星巴克“Holiday Cheer Edition 1 Stamp”NFT郵票當前競價已超過2000美元。
據悉,該NFT郵票僅發行了5000枚,另外三款NFT當前需求量較小,競價也相對較低,目前在69-285美元之間不等。此外,星巴克Web3平臺Starbucks Odyssey目前仍處于封閉測試階段。[2023/2/18 12:14:07]
下面我們來從幾個角度評比下幾款我們熟悉的防釣魚瀏覽器插件,看看他們各自都有哪些特點:
1、是否開源、安裝次數、支持鏈、主要功能描述:
2、NFT 釣魚網站、實時黑名單真實測試:
我們找最常見的朝鮮 APT NFT 釣魚特征和 Monkey Drainer NFT 釣魚特征,進行實時特征掃描,找到團伙最新的釣魚網站,發現時差 3 小時左右,來看下各個防釣魚插件的反饋情況:
最新惡意 NFT 釣魚站點:https://blur.do (發現時間為北京時間 2020-02-19 17:32:12)
下面為測試內容:
1 - PeckShieldAlert(Aegis)
結果:無任何提示,仍正常打開釣魚網站。
2 - Pocket Universe
3 - Revoke.cash
4 - Fire
NFT衍生工具公司Bliv.Club宣布完成種子輪融資,Polygon聯合創始人Sandeep Nailwal等參投:1月11日消息,NFT衍生工具公司Bliv.Club宣布完成種子輪融資,Polygon聯合創始人Sandeep Nailwal等參投。
據悉,Bliv.Club旨在通過各種新時代工具減少進入NFT行業的壁壘,并通過衍生品促進NFT生態系統的流動性。Bliv將提供一個衍生品市場,允許普通人以小規模參與NFT市場。(EconomicTimes.IndiaTimes)[2022/1/11 8:41:22]
5 - Scam Sniffer
結果:提醒釣魚網站并阻止訪問釣魚網站。
6 - Wallet Guard
7 - MetaDock
8 - Metashield
9 - Stelo
為了測試 NFT 站點釣魚的實時性、真實性,9 個安裝的插件展示如下:(Ps:Wallet Guard 已展示出我所安裝的插件。)
以上是以 3 小時時差級別的真實 NFT 釣魚網站結果。
3、基本操作層測試內容
1 - PeckShieldAlert(Aegis)
安裝后是讓用戶自己輸入一個 Token Contract 來檢測,這種方式不符合目前 NFT 用戶急于第一時間知道站點是否是釣魚網站的需求。它更像一個在線惡意合約掃描器插件。
Uniswap V3官宣視頻NFT作品以310 ETH出售:Uniswap V3官宣視頻作品以310 ETH出售,價值52萬美元。購買者是去中心化自治組織(DAO)“ PleasrDAO ”。該DAO由PoolTogether聯合創始人Leighton Cusack提議、專門為購買NFT而成立。Nansen首席執行官Alex Svanevik稱,該組織最初成立是為了購買Uniswap V3 NFT,現在正考慮購買更多藝術品。其成員包括Calvin Liu(Compound)、Tarun Chitra(Gauntlet Network)、Andrew Kang(Mechanism Capital)等30多名以太坊社區成員。
據此前報道,Uniswap創始人Hayden Adams發推稱,由藝術家@pplpleasr1制作、截取Uniswap V3官宣視頻片段的動畫作品正在數字收藏品發行和交易平品Foundation進行拍賣。所有收益將捐贈給AAPI等慈善機構。
Uniswap官方推特在3月23日發布視頻,之后在3月24日凌晨公布細節,宣布計劃于5月5日推出基于以太坊主網的V3版本,部署在Optimism的L2版本將隨后上線。(The Block)[2021/3/28 19:23:28]
personal_sign 測試:無提示。
安裝后可以知道邏輯用戶觸發交易時開始檢測,所以在第一步用戶打開 NFT 釣魚網站時,是不能第一時間提醒用戶的。我們來看下第二步:
personal_sign 測試:提醒用戶已經根據鏈上地址識別出風險地址,讓用戶不要簽名,還是不錯的,符合安全插件預期。
第一步沒有標示出 NFT 釣魚網站,在第二步用戶連接釣魚網站后,根據鏈上地址識別出風險地址,提醒用戶不要簽名。符合安全插件預期。
第一步沒有標示出 NFT 釣魚網站,在第二步用戶連接釣魚網站后,根據鏈上地址沒有識別出風險地址,也沒有提示簽名風險。但是 Fire 可以把簽名預執行內容可讀性顯示出來,這點比較不錯。
安裝后用戶訪問 NFT 釣魚網站時,直接提示風險并阻斷了訪問釣魚網站。符合安全插件預期。
安裝后是在用戶觸發交易時開始檢測,所以在第一步用戶打開 NFT 釣魚網站 時,不能第一時間提醒用戶,我們來看下第二步:
personal_sign 測試:提醒用戶現在已經標記到這個釣魚網站(發現 Wallet Guard 有使用 Scam Sniffer 的惡意地址庫),提醒有風險,不要簽名,還是不錯的。符合安全插件預期。
7 - MetaDock
安裝后用戶連接釣魚網站,釣魚網站騙取用戶簽名時,插件依舊沒什么提示,無任何風險提示。更像是需要用戶主動去提交掃描的方式,不符合安全插件預期。可能 MetaDock 不是一個防釣魚插件?有興趣的小伙伴可以找項目方確認下。
安裝后與 “MetaDock”、 “PeckShieldAlert” 類似,用戶連接釣魚網站,釣魚網站騙取用戶簽名時,插件依舊沒什么提示,無任何風險提示。需要用戶主動去提交掃描的方式,不符合安全插件預期。
personal_sign 測試:無任何提示。
安裝后用戶連接釣魚網站,釣魚網站騙取用戶簽名時,插件依舊沒什么提示,無任何風險提示。
personal_sign 測試:惡意信息提示為低風險。不符合安全插件預期。
至此,對比結束。
最終對比結果
下圖為最終對比結果:
在對比后,我們發現在第一步(用戶打開釣魚網站)的識別上多數安全插件都做得不夠好,只有 Scam Sniffer 識別到了這個 3 小時時差的最新 NFT 釣魚網站,在第二步(用戶連接釣魚網站)開始 eth_sign、personal_sign 簽名等危險操作時,Pocket Universe、Revoke.cash、Wallet Guard 均做出了安全風險識別等提醒。
但這只是目前的基礎對比項,未來可能會進一步細化。
測試的安全插件名稱及版本號如下圖:
在此感謝吳說區塊鏈的拋磚引玉;感謝以上優秀的插件項目方,雖然產品定位、對比結果各不相同,不少仍有改進的空間,但是他們的努力讓區塊鏈安全更進一步!
除此之外,推薦一個使用組合 (不構成任何建議):
1、Rabby wallet + Scam Sniffer
2、Rabby wallet + Pocket Universe
3、MetaMask+ Pocket Universe
4、MetaMask+ Revoke.cash
縱觀區塊鏈行業的釣魚攻擊,對個人用戶來說,風險主要在 “域名、簽名” 兩個核心點,其中 90% 的 NFT 釣魚都跟虛假域名有關。對用戶來說,在進行鏈上操作前,提前了解目標地址的風險情況是十分必要的,如果用戶在打開一個釣魚頁面時,相關的瀏覽器安全插件或錢包就能直接提示風險,這樣就可以把風險阻斷在第一步,直接阻斷了用戶后面的風險。就像 Web2 世界中 360 時代,直接解決了當時小白用戶被病攻擊的困擾,但它也并非解決了所有木馬病問題,因為病的查殺和病的免殺(一種專業的躲避殺軟件查殺技術,可以自行 Google 了解)永遠存在時間差,如何做到時間差更小、樣本數更快、識別更精準就決定了殺軟件的厲害程度。
同樣,在區塊鏈、NFT 行業,如何能第一步識別、提醒到釣魚站點的實時情況,在用戶端快速反饋、識別出釣魚網站,就決定了一款防釣魚安全插件的能力;而如果相關產品因為時間差的問題沒有在第一步識別到這些釣魚域名,用戶丟幣的風險就大大增加;那么接下來到第二步,用戶交互時授權鏈接、簽名步驟,如果瀏覽器安全插件或錢包有騙簽識別,能夠識別、友好的展示出用戶要簽名的詳細信息,如授權什么幣種、授權多少、授權給誰等人類可讀數據,比如 Rabby Wallet,在一定程度上也可以提示風險,一定程度上可以避免陷入資金損失的境地。
對錢包項目方來說,首先是需要進行全面的安全審計,重點提升用戶交互安全部分,加強所見即所簽機制,減少用戶被釣魚風險,如:
釣魚網站提醒:通過生態或者社區的力量匯聚各類釣魚網站,并在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。
簽名的識別和提醒:識別并提醒 eth_sign、personal_sign、signTypedData 這類簽名的請求,并重點提醒 eth_sign 盲簽的風險。
所見即所簽:錢包中可以對合約調用進行詳盡解析機制,避免 Approve 釣魚,讓用戶知道 DApp 交易構造時的詳細內容。
預執行機制:通過交易預執行機制可以幫助用戶了解到交易廣播執行后的效果,有助于用戶對交易執行進行預判。
尾號相同的詐騙提醒:在展示地址的時候醒目的提醒用戶檢查完整的目標地址,避免尾號相同的詐騙問題。設置白名單地址機制,用戶可以將常用的地址加入到白名單中,避免類似尾號相同的攻擊。
AML 合規提醒:在轉賬的時候通過 AML 機制提醒用戶轉賬的目標地址是否會觸發 AML 的規則。
慢霧科技
個人專欄
閱讀更多
金色早8點
金色財經
Odaily星球日報
歐科云鏈
Arcane Labs
深潮TechFlow
MarsBit
澎湃新聞
BTCStudy
鏈得得
編者按:雖然 Web3 還沒有大規模普及,但這個概念已經流傳很久了。本文提出了 5 個 Web3 的趨勢,希望能幫助大家更了解 Web3。本文來自編譯,希望對您有所啟發.
1900/1/1 0:00:00隨著AI大模型的開源,AI已經可以與動畫制作進行更深度地結合,從繪圖到上色到精修,AI都能發揮實際作用.
1900/1/1 0:00:00Radiant(RDNT)于 2022 年 7 月份推出,是 Arbitrum 上的原生借貸市場項目。從貨幣市場角度,它們類似。主要的不同在于,Radiant(RDNT)要做全鏈的貨幣市場.
1900/1/1 0:00:00美國最大的加密貨幣交易所 Coinbase (COIN) 周四宣布推出 Base---一個使用 Optimism 的 OP Stack 構建的第 2 層網絡.
1900/1/1 0:00:00作者:Yiping, IOSG VenturesZK 為跨鏈通信提供了一種安全,低成本的方式跨鏈通信協議仍處于早期階段,但有望允許 DApp 訪問不同鏈上的數據DeFi.
1900/1/1 0:00:00據市場行情,截至 2 月 23 日,超過 73.52% 的加密友好銀行 Silvergate Capital (SI)股票被借走賣空,在美國被做空最多的股票中排名第二.
1900/1/1 0:00:00