币久网-虚拟货币交易,BTC比特币价格,数字资产交易

币久网

黑客开始瞄准 NFT 这份 NFT 防盗基础知识指南请收好

掌握安全存储你的 NFT 资产,并防止遭受诈骗。

原文标题:《NFT 防盗指南:怎么样保护资产安全?》

伴随 NFT 用户数、买卖量和市值的不断攀升,钓鱼者、黑客等不法分子也开始瞄准这个市场,进一步威胁 NFT 生态的安全。

区块链安全和数据剖析公司 PeckShield 撰写的表格显示,在一次钓鱼攻击中,254 个总价值约为 170 万USD的 NFT 遭到偷窃;愚人节当天周杰伦的 NFT BAYC#3738 失窃走,该事件是典型的由钓鱼网站诱导 mint 从而获得用户 NFT 操作权的案例;一个名为 MoonManNFT 的项目,该项目借由 free mint 的名头,盗走了近 400 个 NFT……

通常来讲,黑客会通过 Discord 和 Telegram 锁定珍藏者,并通过诱导 mint、钓鱼攻击等方法盗走用户的 NFT 资产。伴随当下技术进步,NFT 投资者和珍藏者需要准时知道保护资产的最新办法。

NFT 安全存储入门知识

请牢记:

  • 你的 NFT 并不是储存在电脑或手机上,而是在 星际文件系统 或 AR 如此的去中心化空间。

  • 拥有私钥,就有了对区块链 / 你的资产的完全访问权限。

  • Shamir 私钥分割策略能为助记词提供二级保护。

1. 你的 NFT 储存在哪儿?

NFT 并不是储存在冷钱包、PC 端或热钱包中。NFT 是坐落于ETH区块链上的代币,由全球 2400 多个运行中的互联网节点承载。NFT 遭到完全去中心化系统的支持,它能确保 NFT 生态正常运转,也可以验证线上买卖。当你进行 NFT 买卖时,实质发生的活动是数据库对该 NFT 的地址进行更改。

2. 你的图片、动图和音乐在哪儿?

NFT 的 URI(统一资源标识符)标记了图片的地方。NFT 通常坐落于像 星际文件系统 或 AR 等去中心化存储空间。在 Web2 中,也有 AWS 如此的中心化存储器。

3. 钱包

钱包是一个储存私钥的软件,可以支持买卖活动。钱包分为两种:热钱包(软件钱包)和冷钱包(硬件钱包)。

热钱包(软件钱包):可以在通用设施上运行的软件,能 Web3 连接,仅需点击鼠标就能接收资产。

冷钱包(硬件钱包):专用于硬件设施,能与 Web3 连接并接收资产。它与热钱包的主要不同是,冷钱包的助记词从不联网,若要进行买卖,需要通过物理方法(譬如触摸屏)批准。

选择了适合的钱包后,你需要知道它的功能:

第一,热钱包 / 冷钱包会需要你创建一个密码,此密码在特定设施上是唯一的。只有了解密码,才能访问钱包。

你可以自由推荐钱包的公共地址,此地址与 Web3 的电子邮件地址没不同,了解了你的地址,其他人都能向你发送 NFT。这也就催生了新的黑客攻击载体。黑客会向大家发送 NFT,当大家与该 NFT 互动时(譬如将其发送至另一钱包,或供应它),黑客就会窃取此人钱包中的资产。请谨记,不要素开陌生 NFT!除此之外,大家也会借助流氓签名或批准来获得你的 IP 地址。

钓鱼邮件也是一般的诈骗方法。邮件的目的是引诱你把钱包连接到不真实网站,以便黑客窃取资产。所以,千万不要素开陌生链接!务必时时检查网站名字。现在黑客攻击的办法比较单一,只能从公共地址和电子邮件下手,只须不理会它们就好了。

你要保管好私钥,它是访问你的公共地址的密码,私钥的功能有:

(1)将你的 NFT 移出地址。

(2)签署合同,来证明你拥有该地址的私钥(像验证你拥有该公共地址)。

公共地址和私钥最大有什么区别是,你永远也不可以向其他人透露我们的私钥。不然,他们就能把你的私钥导入他们的钱包,窃取你所有些资产。

明确了私钥和公共地址的定义,大家再来看一下助记词。助记词通常由 12、18 或 24 个单词构成,用于找回钱包。假如丢失私钥,你可以用助记词新建一个。与私钥一样,助记词永远不可以被第二个人了解,也不可以存储在电子存储设施或服务商中(譬如 谷歌 drive、icloud、相簿、手机便签和副本)。最佳的方法是物理存储,譬如写在纸上。有人也用铁制品存储助记词,由于它愈加防火。其他方法,比如口令,也能增加钱包安全性。口令是一串符号或单词,将其与助记词结合,就能在原有钱包的基础上创建新钱包。打个比方,若要在原有钱包的基础上创建新的钱包,仅需输入:

  • 助记词 + 「NFTGo」

  • 助记词 + 任意数字

  • 助记词 + 任意字母

  • 助记词 + 任意短语

上述任一方法都能创建一个具备不同私钥公共地址的新钱包,但口令这一功能只对冷钱包适用。

4. 添加第二层保护

购买冷钱包是提高安全性的有效渠道。Trezor,Ledger 和 Keystone 是几款最受青睐的硬件钱包,但各自有优势和不足。每种冷钱包都有其特点。譬如 Keystone 用微信二维码进行数据传输,防止了木马病毒通过 USB 接口或者蓝牙被传输到硬件钱包的风险,同时也是首个支持 以太坊域名服务 的硬件钱包,免去了核对原始地址的麻烦。除此之外,用户可以用 NFT 自概念其 4 英寸的屏幕。

大家以 Keystone 为例进行设置。

(1)从官方网站购买 Keystone 钱包。

(2)安装 Keystone 套件。

(3)启动 Keystone。

(4)设置你钱包的 PIN—— 专用于此设施的口令。

(5)若是企业用的话,推荐用 Shamir 私钥分割策略,把 2 组助记词分成 3 组,或把 3 组助记词分成 5 组,你可以把这 3 组私钥保存在不同地方。假如你有 5 个 Shamir 备份中的 3 个并且丢失了其中 2 个,你仍然可以用剩余的 3 个备份来恢复你的钱包。

大家以转移一个 BAYC 为例具体来看 NFT 硬件钱包的用。在 Keystone 中,用户可以用 microSD 卡中上传的 ABI 数据文件迅速确认地址的真实性,地址旁边会出现蓝色字体的「Board Ape Yacht club」,还需要确认该买卖是不是涉及任何恶意行为,以免将你的 NFT 签署给诈骗者或黑客。

防止 NFT 诈骗的办法

1. 务必从官方网站下载 Web3 app 或钱包

致使加密 / NFT 黑客攻击的重要原因是用户对非官方网站的访问。绝大部分此类网站是为了行骗而打造,看起来与官方网站极其相似。不要从 Google Play 下载 Web3 app,它们可能不是从原始途径获得的。你可以参考以下建议,来辨别官方网站:

(1)关注网址栏。只点击以 https:// 开头的网址(不要素 http://!),「s」代表「安全」,表示该网站的数据是加密传输的,能阻止黑客攻击。

(2)检查域名。黑客最喜爱的伎两个就是创建山寨网站,其域名与正版网站十分相似,只有双击才能知道不同。比如,https://wobble.com 这个网站的山寨版可以是 https://w0oble.com。请记得时时双击域名的所有字母。

(3)留神拼写错误。多数不真实网站是粗糙赶工而成,拼写、读音、大小写和语法都会出错。

2. 只浏览官方频道、官方twitter和官方链接

前面提到,你只能相信官方网站、twitter账号和 discord。你可以参考下列建议来验证:

(1)检查竞价推广账户活动。

(2)检查粉数。

(3)检查竞价推广账户历史。

(4)检查评论和参与度。

3. 不要与其他人共享登陆凭证或私钥

有句话在加密圈十分时尚:「无钥即无币,币钥为一体」。一旦你的私钥或助记词被推荐出去,这个竞价推广账户就再也不是你了。最好的做法,是不让别的人拿到私钥。

4. 先验证 NFT 再购买

在 NFT 生态系统中,尽职调查一直尤为重要。购买或铸造 NFT 之前,务必要检查项目涉及到的团队的声誉,其社区中的有机互动,与大家对该项目的怎么看。

5. 用多个钱包铸造 NFT

譬如,Burner 钱包是专为 NFT 铸造创造的二级钱包。这类钱包都是以铸币所需的 gas 数额来创建并注资。铸币完成后,铸成的 NFT 被发送到另一个钱包,它有哪些用途是存储 NFT。这就降低了主钱包与易被攻击网站互动的风险。你可以创建多个 burner 钱包,一旦发现漏洞,就立即丢弃它。

6. 小心点击陌生竞价推广账户的链接

黑客的容易见到骗术,是通过陌生的 Discord 竞价推广账户或冷邮件发送赠品或白名单链接。务势必 Telegram、Discord 和邮件设置为不接收陌生竞价推广账户或非官方地址的消息,也请防备用户假扮群主或官方 DM 你。

7. 检查令牌批准 & 撤销不用的令牌

大家天天都与不一样的协议和链接互动,基于智能合约上的信息给予其访问权限和许可。时常审查和撤销访问权限十分要紧。https://revoke.cash/ 网站可以帮你取消访问权。

8. 进行下一步之前,仔细阅读并核实智能合约的买卖条约

确认买卖前,务必确保自己认真阅读了智能合约中的每一个细节。不少黑客借助智能合约骗取许可,从而随意访问你钱包中的资金。你要认真阅读,确保合约中的细节不会构成威胁,更不是存在漏洞。

9. 紧跟新闻,知道新漏洞

结语

大家对 NFT 市场的兴趣日益增加,不法分子也潜伏其中,借助伎两个从珍藏者和投资者手中偷取作品和资金,请确保我们的宝贵资产、钱包和资金不落入黑客手中。

查询更多

相关推荐

我们的缺点麻烦您能提出,谢谢支持!