,ERC20-usdt/TRC20-usdt互换(www.u2u.it)是最高效的ERC2换TRC20,TRC20换ERC20的平台.ERC2 USDT换TRC20 USDT,TRC20 USDT换ERC20 USDT链上匿名完成,手续费低。
By: 山
“我不需要知道 Jerry 是谁,在网络上做生意,你信托的就是网络上的小面板,剥掉面板,你就知道这玩意现实上有多懦弱,而事实上在那网站后面操作的真人,他们才是你需要信托的人。“
——《别信托任何人:虚拟钱币悬案》
NFT 靠山
2008 年 11 月 1 日,中本聪提出比特币(Bitcoin)的观点,2009 年 1 月 3 日,比特币正式降生,尔后随着全球数字经济加速生长,加密资产等观点爆热,2012 年第一个类似 NFT 的通证 Colored Coin(彩色币)降生。彩色币由小面额的比特币组成,最小单元为一聪(比特币的最小单元)。随着手艺的延续生长,时间一转来到 2021 年,NFT 迎来了发作性增进,逐步成为市场最热的投资风向标之一。
艺术家 Beeple 的 NFT 作品《Everydays:The First 5000 Days》在佳士得官网上以 69,346,250 美元成交,虚拟游戏平台 Sandbox 上的一块虚拟土地以 430 万美元售出……随着水涨船高,层出不穷的高价项目延续刺激着人们的神经。然后在高价光环之下,NFT 也逐渐进入了犯罪分子的视野,今后开启了针对 NFT 的疯狂钓鱼、偷窃等行动。
NFT 现状
弁言这段话出自 Netflix 的自制纪录片《别信托任何人:虚拟钱币悬案》,故事讲述加拿大最大加密钱币生意所 QuadrigaCX 首席执行官格里·科滕离奇殒命后,他将 2.5 亿美元客户资金密码也带进了宅兆。大量恐慌的投资者拒绝接受官方的说法,他们以为格里的“殒命”具有“金蝉脱壳”的所有特征:他还在世,已经带着投资者的钱跑路了!
着实 QuadrigaCX 的故事只是 Web3 天下的冰山一角,而我们今天要聊的 NFT 天下里,被盗险些天天都在上演,枚举几个着名案例:
2021 年 2 月 21 日,OpenSea 用户遭到 personal_sign 类型网络钓鱼攻击,有 32 位用户签署了来自攻击者的恶意生意,导致用户部门 NFT 被盗,包罗 BAYC、Azuki 等近百个 NFT,按当市价钱盘算,黑客赚钱 420 万美元;
2022 年 4 月 29 日,周杰伦持有价值 320 万元的无聊猿 NFT 被盗;
2022 年 5 月 25 日,推特用户 @0xLosingMoney 称监测到 ID 为 @Dvincent_ 的用户通过公布钓鱼网站 p2peers[.]io 盗走了 29 枚 Moonbirds 系列 NFT,价值超 70 万美元;
2022 年 6 月 28 日,Web3 项目 Metabergs 创作者 Nickydooodles.eth 发推称,黑客使用钓鱼手段攻击了他的钱包,损失了 17 枚 ETH(约合 21,077 美元)和所有 NFT 藏品,包罗 Goblintown NFT、Doodles NFT、Sandbox Land 等;
2022 年 11 月 1 日,KUMALEON 项目的 Discord 遭黑客入侵,攻击者通过公布钓鱼链接的方式实行攻击,导致社区用户约莫 111 枚 NFT 被盗,包罗 BAYC #5313 、ENS、ALIENFRENS 和 Art Blocks 等;
2021 年 12 月 31 日,推特用户 Kramer 在推特称其点击了一个看起来像真的 NFT DApp 链接,效果这是一次网络钓鱼攻击,他的 16 个 NFT 被盗,包罗 8 个 Bored Apes、7 个 Mutant Apes 和 1 个 Clonex,价值 190 万美元;
2023 年 1 月 15 日,着名博主 @NFT_GOD 因点击谷歌上的钓鱼广告链接,导致所有账户(substack、twitter 等)、加密钱币以及 NFT 被盗;
2023 年 1 月 26 日,NFT 着名项目 Moonbirds 首创人 Kevin Rose 的钱包被盗,丢失约 40 枚 NFT,损失跨越 200 万美元;
2023 年 1 月 28 日,NFT 着名项目 Azuki 官方 Twitter 账号被黑,导致其粉丝毗邻到钓鱼链接,超 122 枚 NFT 被盗,损失跨越 78 万美元;
2023 年 2 月 8 日,一名受害者因一个存在已久的 NFT 钓鱼圈套,毗邻到钓鱼地址,损失跨越 1,200,000 美元的 USDC;
……
鉴于 NFT 被盗的频发和影响严重性,慢雾科技针对 NFT 钓鱼团伙公布两次针对性追踪剖析:
2022 年 12 月 24 日,慢雾科技首次全球披露《朝鲜 APT 大规模 NFT 钓鱼剖析》, APT 团伙针对加密生态的 NFT 用户举行大规模钓鱼流动,相关地址已被 MistTrack 符号为高风险钓鱼地址,生意数也异常多,APT 团伙共收到 1055 个 NFT,售出后赚钱近 300 枚 ETH。
2023 年 2 月 10 日,慢雾科技再次公布《数万万美金大盗团伙 Monkey Drainer 的神秘面纱》,据 MistTrack 相关数据统计,Monkey Drainer 团伙通过钓鱼的方式共计赚钱约 1297.2 万美元,其中钓鱼 NFT 数目 7,059 个,赚钱 4,695.91 ETH,约合 761 万美元,占所获资金比例 58.66%;ERC20 Token 赚钱约 536.2 万美元,占所获资金比例 41.34%,其中主要赚钱 ERC20 Token 类型为 USDC, USDT, LINK, ENS, stETH。
除此之外,据慢雾区块链被黑事宜档案库(Hacked.slowmist.io)和 Elliptic 的数据统计,停止 2023 年 1 月,NFT 被盗的着名平安事宜有几百起,攻击者偷走了价值近 2 亿美元的 NFT。
据 SlowMist 数据显示,2022 年 NFT 偷窃案主要集中在 Ethererum 链,发生在社交媒体平台上,通过虚伪域名、项目方相似域名、恶意木马、Discord 入侵公布虚伪链接钓鱼等手法举行攻击,诈骗者平均每次偷窃 10 万美元。似乎岂论牛市照样熊市,只有黑客在 “0 元购” 赚的盆满钵满。
那么问题来了:不管是通俗用户照样项目方首创人都屡遭钓鱼攻击,面临云云恶劣的 NFT 钓鱼、敲诈环境,NFT 用户是不是就毫无设施?用户就是待宰的羔羊吗?
No!现在我们平安防御一直推行人防+技防的手段,即职员平安意识防御+手艺手段防御。职员平安意识防御即小我私人平安意识,建议加密钱币从业者可以学习下区块链漆黑森林自救手册:
https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/
鉴于人是个庞大的高等动物,以是职员平安意识防御我们今天不睁开讲,人人区块链漆黑森林自救手册好好读一下。
而手艺防御手段又是什么?简朴讲就是通过软硬件、浏览器插件等平安方式来保证资产等平安,而在 NFT 用户群体,浏览器交互是 90% 的 NFT 用户最常用的操作方式,也是最容易泛起问题的环境,现在市场上已经有多款防钓鱼浏览器插件,下面我们来清点与对比下,希望能给 NFT 用户一些平安指引。
平安插件对比
免责提醒:以下对比的几款浏览器平安插件仅从基本信息层、NFT 实时钓鱼检测层、基本操作层举行对比,慢雾仅作为中立第三方,不肩负任何义务和执法责任。
下面我们来从几个角度评选下几款我们熟悉的防钓鱼浏览器插件,看看他们各自都有哪些特点:
1、是否开源、安装次数、支持链、主要功效形貌:
2、NFT 钓鱼网站、实时黑名单真实测试:
我们找最常见的朝鲜 APT NFT 钓鱼特征和 Monkey Drainer NFT 钓鱼特征,举行实时特征扫描,找到团伙最新的钓鱼网站,发现时差 3 小时左右,来看下各个防钓鱼插件的反馈情形:
最新恶意 NFT 钓鱼站点:https://blur.do (发现时间为北京时间 2020-02-19 17:32:12)
下面为测试内容:
1 - PeckShieldAlert(Aegis)
效果:无任何提醒,仍正常打开钓鱼网站。
2 - Pocket Universe
效果:无任何提醒,仍正常打开钓鱼网站。
3 - Revoke.cash
效果:无任何提醒,仍正常打开钓鱼网站。
4 - Fire
效果:无任何提醒,仍正常打开钓鱼网站。
5 - Scam Sniffer
效果:提醒钓鱼网站并阻止接见钓鱼网站。
6 - Wallet Guard
效果:无任何提醒,仍正常打开钓鱼网站。
7 - MetaDock
效果:无任何提醒,仍正常打开钓鱼网站。
8 - Metashield
效果:无任何提醒,仍正常打开钓鱼网站。
9 - Stelo
,,www.326681.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。
效果:无任何提醒,仍正常打开钓鱼网站。
为了测试 NFT 站点钓鱼的实时性、真实性,9 个安装的插件展示如下:(Ps:Wallet Guard 已展示出我所安装的插件。)
以上是以 3 小时时差级其余真实 NFT 钓鱼网站效果。
3、基本操作层测试内容
1 - PeckShieldAlert(Aegis)
安装后是让用户自己输入一个 Token Contract 来检测,这种方式不相符现在 NFT 用户急于第一时间知道站点是否是钓鱼网站的需求。它更像一个在线恶意合约扫描器插件。
personal_sign 测试:无提醒。
2 - Pocket Universe
安装后可以知道逻辑用户触发生意时最先检测,以是在第一步用户打开 NFT 钓鱼网站时,是不能第一时间提醒用户的。我们来看下第二步:
personal_sign 测试:提醒用户已经凭证链上地址识别出风险地址,让用户不要署名,照样不错的,相符平安插件预期。
3 - Revoke.cash
第一步没有标示出 NFT 钓鱼网站,在第二步用户毗邻钓鱼网站后,凭证链上地址识别出风险地址,提醒用户不要署名。相符平安插件预期。
personal_sign 测试:
4 - Fire
第一步没有标示出 NFT 钓鱼网站,在第二步用户毗邻钓鱼网站后,凭证链上地址没有识别出风险地址,也没有提醒署名风险。然则 Fire 可以把署名预执行内容可读性显示出来,这点对照不错。
personal_sign 测试:无提醒。
5 - Scam Sniffer
安装后用户接见 NFT 钓鱼网站时,直接提醒风险并阻断了接见钓鱼网站。相符平安插件预期。
personal_sign 测试:无提醒。
6 - Wallet Guard
安装后是在用户触发生意时最先检测,以是在第一步用户打开 NFT 钓鱼网站 时,不能第一时间提醒用户,我们来看下第二步:
personal_sign 测试:提醒用户现在已经符号到这个钓鱼网站(发现 Wallet Guard 有使用 Scam Sniffer 的恶意地址库),提醒有风险,不要署名,照样不错的。相符平安插件预期。
7 - MetaDock
安装后用户毗邻钓鱼网站,钓鱼网站骗取用户署名时,插件依旧没什么提醒,无任何风险提醒。更像是需要用户自动去提交扫描的方式,不相符平安插件预期。可能 MetaDock 不是一个防钓鱼插件?有兴趣的小同伴可以找项目方确认下。
personal_sign 测试:无提醒。
8 - Metashield
安装后与 “MetaDock”、 “PeckShieldAlert” 类似,用户毗邻钓鱼网站,钓鱼网站骗取用户署名时,插件依旧没什么提醒,无任何风险提醒。需要用户自动去提交扫描的方式,不相符平安插件预期。
personal_sign 测试:无任何提醒。
9 - Stelo
安装后用户毗邻钓鱼网站,钓鱼网站骗取用户署名时,插件依旧没什么提醒,无任何风险提醒。
personal_sign 测试:恶意信息提醒为低风险。不相符平安插件预期。
至此,对比竣事。
最终对比效果
下图为最终对比效果:
在对比后,我们发现在第一步(用户打开钓鱼网站)的识别上多数平安插件都做得不够好,只有 Scam Sniffer 识别到了这个 3 小时时差的最新 NFT 钓鱼网站,在第二步(用户毗邻钓鱼网站)最先 eth_sign、personal_sign 署名等危险操作时,Pocket Universe、Revoke.cash、Wallet Guard 均做出了平安风险识别等提醒。
但这只是现在的基础对比项,未来可能会进一步细化。
测试的平安插件名称及版本号如下图:
在此谢谢吴说区块链的抛砖引玉;谢谢以上优异的插件项目方,虽然产物定位、对比效果各不相同,不少仍有改善的空间,然则他们的起劲让区块链平安更进一步!
除此之外,推荐一个使用组合 (不组成任何建议):
1、Rabby wallet + Scam Sniffer
2、Rabby wallet + Pocket Universe
3、MetaMask+ Pocket Universe
4、MetaMask+ Revoke.cash
写在最后
纵观区块链行业的钓鱼攻击,对小我私人用户来说,风险主要在 “域名、署名” 两个焦点点,其中 90% 的 NFT 钓鱼都跟虚伪域名有关。对用户来说,在举行链上操作前,提前领会目的地址的风险情形是十分需要的,若是用户在打开一个钓鱼页面时,相关的浏览器平安插件或钱包就能直接提醒风险,这样就可以把风险阻断在第一步,直接阻断了用户后面的风险。就像 Web2 天下中 360 时代,直接解决了那时小白用户被病毒攻击的困扰,但它也并非解决了所有木马病毒问题,由于病毒的查杀和病毒的免杀(一种专业的逃避杀毒软件查杀手艺,可以自行 Google 领会)永远存在时间差,若何做到时间差更小、样本数更快、识别更精准就决议了杀毒软件的厉害水平。
同样,在区块链、NFT 行业,若何能第一步识别、提醒到钓鱼站点的实时情形,在用户端快速反馈、识别出钓鱼网站,就决议了一款防钓鱼平安插件的能力;而若是相关产物由于时间差的问题没有在第一步识别到这些钓鱼域名,用户丢币的风险就大大增添;那么接下来到第二步,用户交互时授权链接、署名步骤,若是浏览器平安插件或钱包有骗签识别,能够识别、友好的展示出用户要署名的详细信息,如授权什么币种、授权若干、授权给谁等人类可读数据,好比 Rabby Wallet,在一定水平上也可以提醒风险,一定水平上可以制止陷入资金损失的田地。
对钱包项目方来说,首先是需要举行周全的平安审计,重点提升用户交互平安部门,增强所见即所签机制,削减用户被钓鱼风险,如:
