一封詐騙郵件騙走了416萬美元！NFT防騙指南

Crypto 的世界如同黑暗森林，你的身邊可能潛藏著無數危機。近日，就有駭客趁著 OpenSea 合約升級之時，發送了一封釣魚郵件給所有使用者，而不少使用者錯把其當作官方郵件，而將自己的錢包在假網站上進行授權，進而導致錢包被盜。據統計，這一封郵件至少導致 3 個 BAYC、37 個 Azuki、25 個 NFT Worlds 等 NFT 被盜，按照地板價估算，駭客收入已高達 416 萬美元。 

而就在同天夜晚，「All in NFT」的大學生 Niq 長期持有的 1/1 Doodle 也被盜，原因是對方找 Niq 私下磋商交易，在讓 Niq 放鬆警惕後發給了他一個假的交易網站連結。 

如今，我們需要防範的駭客攻擊不僅僅存在於技術層面，還來自社會工程學，再加上眾多 NFT 項目的價格水漲船高，稍不留神便會損失巨額資產。鑒於最近 NFT 領域詐騙頻發，律動總結了幾類常見的詐騙手段，希望廣大讀者時刻提高警惕，不要上當受騙。 

詐騙手段 

1、透過 Discord 私訊詐騙網站連結 

Discord 私訊連結是是駭客常用的行騙手段，駭客往往會透過 Discord 不同的社群大量發送私訊給成員，或是冒充社群管理員以幫忙解決問題為由私訊使用者，騙取錢包私密金鑰。或者發送假的釣魚網站，告訴使用者可以免費領取 NFT 等等。使用者一旦授權給了駭客仿造的假網站，那麼將會給使用者帶來巨大的虧損。 

2、攻擊 Discord 伺服器

 Discord 伺服器被駭客攻擊幾乎是每一個火紅的 NFT 專案都會經歷的事情，駭客會攻擊伺服器管理員的帳號，之後在伺服器的各個頻道發布假公告，騙社群成員去駭客早就搭建好的假網站購買假的 NFT。而如今的駭客會透過發送詐騙網站等方式騙取伺服器管理員的 token，這樣即使管理員開啟 2FA 雙重認證也無濟於事。而如果駭客搭建的詐騙網站會要求使用者錢包的授權，則會為使用者帶來更加嚴重的財產損失。 

3、發送假的交易連結 

這類騙術常見於騙子與使用者私下磋商的 NFT 交易過程。Sudoswap、NFTtrader 等交易平臺鼓勵使用者透過私下磋商的方式「交換」彼此的 NFT 或 token，而這些平臺也為私下磋商成的交易提供了安全保障，這對於 NFT 市場來說本是一件好事，但如今有駭客開始透過仿造的 Sudoswap、NFTtrader 網站進行詐騙。 

Sudoswap、NFTtrader 在磋商完成後需要使用者發起一筆交易，這一步驟會產生一個訂單確認網站，雙方確認後交易會透過智慧型合約自動進行。騙子在一開始會假裝與你商議交換哪些 NFT，並先為你展示一個真的網站連結，隨後提出對交易進行修改，在交易者放鬆警惕後，騙子會發送一個詐騙連結，使用者點擊確認交易後，錢包中對應的 NFT 便會被發送至騙子的錢包中。 

4、騙取助記詞 

騙子會透過各種手段誘導使用者將私密金鑰或助記詞發送給自己，比如搭建詐騙網站、假裝自己是來幫助使用者的管理員等，種種行為均是為了降低使用者的警惕，伺機騙走私密金鑰和助記詞。 

5、創建假的 Collection，在專案的 Discord 公開頻道尋求交易 

假 NFT 合集是在很多熱門專案發售前最容易遇到的。當 NFT 盲盒正式上線前，騙子會提前在 OpenSea 等 NFT 交易平臺上傳名稱類似的 NFT 合集，並且提前透過官方釋放出的資訊精美的「裝修」好這個合集。真正的 NFT 合集在沒上線的情況下，使用者優先會搜尋到名字最為接近的合集。有些騙子為了讓使用者相信還會製造幾筆交易，為當前掛單的假冒 NFT 發送 Offer 出價。 

為了節省平臺和項目方的版稅抽成，社群成員之間會進行私下交易，除了上文所談到的透過仿造 Sudoswap、NFTtrader 網站之外，也有騙子透過在社群頻道發送略低於地板價的假 NFT 合集連結。使用者往往會在急於搶購低於地板價 NFT 時忽略了 NFT 的真實性進而受騙。 

6、假郵件 

大部分的 NFT 平臺都會要求使用者綁定信箱，以方便使用者能夠第一時間知道自己 NFT 的交易情況，因此信箱也成為了詐騙氾濫的聚集地。騙子通常會偽裝成 OpenSea 平臺的官方帳號，以合約位址需要修改或錢包需要重新驗證等方式向使用者發送釣魚網站連結。近日 OpenSea 在公布合約升級之後，駭客便是以這種方式騙取使用者財產近 400 萬美元。截止撰稿日期，OpenSea 團隊仍然在排查受損使用者。 

防騙指南 

1、 網址辨別 

無論駭客採用何種天花亂墜的包裝，和如何令你意亂神迷的語言描述，在最終他盜走你的加密資產之時，始終需要一個和你的錢包發生互動的途徑。普通使用者或許不具備辨別合約風險的能力，但幸運的是，我們至今仍處在一個 Web2 所主導的網路世界。幾乎所有的加密合約都需要借助一個 Web2 的前端網頁來和使用者互動。 

因此，幾乎絕大多數面向使用者（而非項目方）的加密資產盜竊都是發生在仿冒的釣魚網站之上。而一旦瞭解了如何鑒別釣魚網站，將足以幫你避開 99% 的加密資產盜竊。 

對於伴隨著智慧型手機成長起來的 Z 世代來說，他們生活在一個又一個 App 營造的「生態」之中，對於 Web 網頁這個陳舊的事物或許已經疏於瞭解了。在 Web2 時代，DNS 網域名稱系統為每一個網站賦予了全網唯一的身份標誌，瞭解網域名稱構成的基本規則，將足以應對幾乎全部的假的釣魚網站。 

在傳統的 DNS 網域名稱中，網域名稱層級分為三級。從第一個分隔符號（/）開始從右至左閱讀，每個句號分隔開一個層級。以 https://www.opensea.io/ 為例「.io」和「.com」等類似，被稱為頂層網域名，該欄位不可自訂。「opensea」被稱為二級網域名稱，也即網域名稱的主體，同一頂層網域名（比如同為.io）下該欄位不可重複。「www」部分則為三級網域名稱，該欄位網站營運者可自行設置。甚至營運者還可在「www」之前繼續添加四級網域名稱、五級網域名稱。 

網域名稱的層級順序是反直覺的：即從右至左層級逐漸降低。這一設計與大多數人的閱讀習慣恰恰相反，也讓攻擊者有了可乘之機。舉例來說，https://www.opensea.io.example.com 該位址雖然和 opensea 位址高度相似，但其實際網域名稱卻為「example.com」而非「opensea.io」。 

Web3 是否還有釣魚攻擊我們尚且難以預測。但在 Web2 的世界裡，DNS 網域名稱系統確保了網域名稱（或者說網址）的唯一性，在網域名稱為真的情況下，使用者幾乎不可能打開假網站。 

2、不要洩露私密金鑰或助記詞 

Crypto 錢包不像 Web2 的電子郵件等帳戶，私密金鑰與助記詞無法修改、找回，一旦洩露就意味著這個錢包將同時歸屬於你與駭客，你錢包內所有的資產都可以隨時被駭客轉移，而由於以太坊位址的匿名性，你也無法查明駭客到底是誰，損失自然也無法追回，這個錢包也不能再繼續使用。 

3、即時取消錢包授權 

如果你已經在詐騙網站授權錢包，可以及時前往以下三個位址檢查錢包授權情況並及時取消： 

• https://etherscan.io/tokenapprovalchecker 
• https://revoke.cash/
• https://debank.com/