新资产协议热潮下,普通用户如何有效保障自身加密资产安全?
随着新资产协议和 NFT 生态快速发展,各种新玩法层出不穷的当下,如何有效保护好自己的加密数字资产成为 Web3 用户所面临的新挑战。在由 NFTScan 和 Mint Blockchain 联合举办的 Twitter space NFT 新资产聊天室,邀请到了 imToken、Onekey、慢雾科技、NFTScan 等行业各领域的权威们,探讨在这一热潮中如何有效保护自己的加密资产,并分享一系列实用经验和建议。
Host:Yuri | NFTScan
Guest:
Liz | SlowMist Team
Mako | Market Researcher Lead of imToken
Niq | Chief Content of OneKey
Shier | Co-founder of NFTScan Labs
Yuri | host:
根据 NFTScan 的数据显示,现在链上每天新增大概 600 万枚 NFT 资产,4000~6000 个 NFT 资产合约,随着 NFT 资产规模的大规模增长,出现了通过 NFT metadata 进行诱导的钓鱼事件,尤其是在 EVM 网络和 L2 网络上,比如 BNBChain、Polygon、Base 等,进而导致资产损失,关于这一点各位老师有没有一些应对的策略,给到 dApp 开发者和 Web3 用户?
Niq | OneKey:
链上 NFT 诈骗主要有两种形式。首先是批量发送无价值的 NFT 到用户钱包,目的是使用户在 OpenSea 等网站上点击这些 NFT,从而被诱导到钓鱼网站并获取用户的许可签名。例如,诈骗者可能发送标记为“未解锁”的 NFT,并引导用户访问特定网站进行解锁,用户一旦签名便授权了代币。另一种是通过修改合约的“Sleep Minting”或假 Mint,主要针对新手,这种修改使得在某人的钱包交易记录中显示为 Mint 了 NFT,实际上是诱导用户访问包含钓鱼元数据的 NFT 网站。
尽管一些平台如 OpenSea 已能过滤大部分诈骗,一些钱包还是可能显示这些活动。这类诈骗在交易记录的元数据模式中一致,开发者可以通过专门的 API 轻松识别和过滤。
对普通用户而言,维持基本的安全意识非常关键,应对看似诱人的免费空投或代币链接保持警惕。了解到并非所有 Mint 行为都是自发的,许多钓鱼 NFT 是通过假 Mint 产生,故应保持警觉,避免陷入诈骗陷阱。
Mako | imToken:
确实,Niq 已经很好地解释了这个问题。这些诈骗行为,尤其是诱导用户前往第三方网站进行 Mint 确实普遍存在。尽管我们和许多钱包与安全机构已经做了大量科普,但社区中仍然频繁出现这类问题。但很多用户未亲身经历这些问题,可能就不会特别关注安全风险。
在 imToken 这边,我们有跟第三方 API 合作也建立了自己的过滤规则,但仍能接收到用户的反馈,安全措施虽普及但并非万无一失,需要通过社区共建来共享和交流关于诈骗的数据的重要性。
此外,我们进行的市场调研显示,如 Simple Hash 这样的公司通过类似白名单的方法为 NFT 提供评分服务,尽管可能与区块链精神不完全符合。但我认为,随着 AI 技术的发展,AI 辅助识别风险和提供安全提示的能力逐渐提升,未来防范诈骗这方面,区块链与 AI 技术可能会有效结合。
Shier | NFTScan Labs:
在 NFTScan,我们从数据服务的角度出发,首先在数据源头实施了安全策略,目的是为下游开发者过滤掉垃圾和风险资产。我们为 B 端开发者开放了 API 接口,允许他们主动提交观察到的或从 C 端用户收到的垃圾资产信息。收到反馈后,我们进行安全审核并可能标记过滤,防止这些资产流向下游。
我们还定期分析链上资产的发行和交易模式,寻找规律后使用算法进行二次过滤。此外,NFTScan 浏览器也增设了用户反馈入口,允许用户提交他们发现的风险资产或垃圾资产,以期通过 B 端和 C 端的共同努力,输出更高质量的资产或消除潜在安全风险。
同时还需要还提醒 C 端用户,由于 NFT 资产的可编程性,Metadata 中的信息可能随时变化,因此在浏览涉及可疑链接或文档的图片、视频、音频时应格外谨慎。对于那些声称可以领取大量 U 的广告,应学会自动屏蔽,很可能是钓鱼行为。这基本上是 NFTScan 对整个链上 NFT 资产进行的一系列策略,抵御诱导钓鱼和批量空投的广告垃圾资产。
Liz | SlowMist:
我们都知道 Metadata 是指 NFT 包含的特定信息,比如名称、描述、图片和动图等,但这些信息因 NFT 的性质或创作属性而异,而元数据的这种灵活性也带来了多重风险:
首先是信息误导或篡改,如果元数据由创作者任意设定,购买者可能因信息误导或篡改而遭受损失。其次如果 NFT 的元数据存储在链下服务器中,一旦服务器停运或受攻击,相关的元数据可能丢失,从而损害 NFT 的价值。最后图片或动图的 URI 可能用来采集用户的基本隐私信息,导致隐私侵犯。
面对这些问题,我认为我们可以采取以下几点应对措施:
首先,购买 NFT 时应选择知名的、主流的、可信赖的平台。其次,我们还需启用包括双因素认证、邮箱或手机验证在内的各种安全措施,以提高账户的保护级别。虽然这些安全措施很重要,但还不足以完全保障安全。
因此,我们还需要养成定期进行安全检查和系统更新的习惯,以确保长期的安全性。切勿随意点击来源不明的链接,特别是那些可能请求敏感信息的链接。
Yuri | host:
最近一年行业内出现了很多新的加密资产协议标准,带来很多发行新资产的热点和玩法,包括 铭文、BRC20、ERC404、Memecoin、Restaking、撸空投等,普通的 Web3 用户在参与的过程中,就是大家有没有一些建议可以给到?怎么样去防范这样一个安全问题?
Niq | OneKey:
刚刚提到关于 Restaking 相关的一些安全问题,特别是涉及到大额资产被盗的情况。据 Scam Sniffer 报告,一些涉及质押代币的被盗案件频发,包括几起平均交易额达两百万美元的盗窃。这些案件通常涉及盗用的 permit 签名和用户与不熟悉合约或网络的高风险交互。
此外,市场上一些声称能一键检测和领取空投的工具,实际上增加了使用大额资金地址的风险。因此,重要的是在进行高风险交易前将资产转移到安全的位置,并在交易后彻底撤销所有授权,确保所有风险已被妥善处理。总之,与不熟悉的工具或项目交互时,确保采取适当的预防措施至关重要,降低风险敞口。
Mako | imToken:
最近关于互不接盘的话题特别受关注,尤其是一些玩铭文、Solana 等项目。在参与这些项目时,我通常选择使用新的钱包,而对于小项目通常不使用硬件钱包。
然而,涉及大额资产时,我会选择硬件钱包进行 staking 等活动。对于发布的 MemeCoin 等,我倾向于用小额钱包操作。获取信息的主要渠道是通过 Twitter 等社交媒体,但需警惕假冒账号,很容易让人上当受骗。
从经验来看,判断推文可信度的一个方法是查看我认识的人是否关注了这个账号。有关取消授权,我发现其实在以太坊上直接更换地址经济实惠。其次,在参与 MemeCoin 或其他热门项目时,我认为重要的是量力而行,认清市场波动是常态,及时获利了结。
Liz | SlowMist:
最近,我们收到了很多用户因钱包私钥被盗的报告,这再次凸显了钱包安全的重要性。正如常言“不是你的私钥就不要泄露”,这是大家都熟悉的安全原则。
例如,许多盗窃案件发生是因为用户将私钥或助记词明文保存在不安全的地方,如桌面文档、表格或微信收藏等。此外,一些用户在使用应用时没有切换到正确的网络,导致资产被误转到其他链上,如果钱包或平台不支持新协议,资产很容易丢失。
因此,在参与任何项目前,都应仔细阅读白皮书,研究项目背景,并尽量选择经过安全审计的项目或平台,避免盲目跟风造成损失。同时,尽管自动化工具方便,但使用前必须确保能够正确操作,以防误操作带来严重后果。
Shier | NFTScan Labs:
确实,对于投资或参与较小的加密项目,换一个专门的钱包是一种非常直接且安全的做法,尤其是当这个钱包不需要存放太多资金时。此外,当我们浏览一些大型项目的官方推特时,尤其是那些有空投预期但还未发行空投的情况。我们在 Mint 这边会采取一种预防措施。例如,在推特活动结束时,会发布一张图明确声明这是该系列推文中的最后一条,以此来防止钓鱼诈骗的发生。
然后我总结一下,对前面三位老师说的就大概有这么几点:
防范钓鱼网站:要特别注意不要误入钓鱼网站。确保通过官方社交媒体或官方网站获取项目信息,并在确认后再进入官方网站,以减少被钓鱼的风险。
钱包连接授权:在进行签名操作时,务必仔细查看签名信息,确保知晓其目的。这一步至关重要,可以避免资产被不明签名操作所损失。
资产安全:尤其在参与新协议时,要注意保障资产安全,最好做好资产隔离,尽量减少对主力资产的操作,以降低风险。
私钥管理:对于私钥管理,需要认真学习和研究。使用硬件钱包是一个不错的选择,比如像 OneKey 和 imToken 这样的专业硬件钱包。同时,确保连接的网络和钱包是可信的也是至关重要的。
Yuri | host:
最后一个问题,在区块链这个黑暗丛林中,如何有效的保护加密资产安全呢?请各位老师给大家分享一些用真金白银换来的教训和经验。
Shier | NFTScan Labs:
最近我们遇到了一个问题,有人冒充投资机构在 Twitter 上私信我们,并提供了一个 Zoom 会议链接。这个链接要求我们用官方社交媒体账号授权,初看似乎不寻常,但考虑到可能是为了确认身份我们决定授权。不幸的是,这是一个钓鱼链接,攻击者通过这种方式在深夜发起攻击并获取了我们官方账号的编辑权限。我们的社区迅速反应,我们取消了所有 Twitter 授权,及时控制了局面。
另一个案例发生在一波去中心化流动性挖矿热潮期间,一个朋友在开源一个脚本时不慎公开了自己的私钥,导致损失了数十万美元的资产。
这些案例强调了安全事故往往可以防范,常因缺乏警觉和安全意识,提醒我们在进行任何投资或操作时必须维持高度警觉和采取严格的安全措施。
Niq | OneKey:
讨论到"黑暗丛林",必须提及慢雾近日发布的《黑暗森林自由手册》v1.2 版本,其中提出的零信任和持续验证两大安全法则非常精辟。
我曾经遇到的一个例子就是关于一个空投人设,该团队发布教程赢得信任后,突然推出含有恶意链接的教程,导致许多人私钥被盗。这不仅是技术攻击,同时也利用了社会工程学中的人际信任,信息交互和人际间相互作用是十分重要的。
因此,始终实行零信任和持续验证至关重要。此外,避免在精神状态不佳时操作,管理好自己的风险敞口,经常检查自己授权给合约的代币数量,以及自己持有的代币是否处于一个不稳定的项目中。这些策略则是应对黑暗丛林中风险的关键。
Mako | imToken:
随着时间推移,钱包用户教育显著进步,没有备份习惯的用户已大为减少。但偶尔仍有触目惊心的例子,例如用户的备份被亲人发现并盗用,显示出资产安全意识的不足。即使在家庭中,也必须保持一定的安全措施。
一个常见问题是用户通过搜索引擎下载假钱包,如有用户误下载了假“imToken”应用,损失了约 15 万美元。我还见过人们在小红书上分享助记词,通常出于贪小便宜。我尝试将这样的助记词导入空钱包,发现有 100 美元,很快就被自动脚本转走,典型的钓鱼行为。此外,我们与慢雾讨论了自定义 IPC 问题,许多人在尝试领空投时,会被骗子要求配置特定的 IPC,用以窃取资产。
这些例子强调,不应贪图小便宜或自以为聪明。我们持续进行用户教育,但许多人可能只有在事情发生后才会关注。
Liz | SlowMist:
我这里想分享一些关于钓鱼事件的信息。根据我们每天接收到的受害者提交的被盗信息,钓鱼活动每个月都在逐渐增长,并且在被盗原因中占比相当大。
盲签钓鱼是目前最常见的钓鱼类型之一,以 eth_sign 签名方法为例,这是一个开放式签名方法,允许对任意 hash 进行签名,用于交易或数据签名。这对非技术用户而言难以理解,易埋下钓鱼风险。幸运的是,现在许多钱包已开始提供安全提示,以减少资产损失。
在防止钓鱼方面,用户应在交互前核实项目官网,并警惕任何恶意签名请求。重要的是,不应在任何地方泄露助记词或私钥。项目参与前,要考虑项目是否匿名、团队是否知名、代码是否经过安全审计及其质量。用户应优先参与知名且经过多方面安全审计的 Web3 项目,同时留意这些审计是否持续更新,以应对新的安全挑战。
最后,我还想提醒大家,我们的《区块链黑暗森林自救手册》是一个很好的资源。我建议大家定期阅读,尤其是那些可能因为熟悉而放松警惕的人。即使内容可能有些基础,但常读常新,可以帮助我们避免掉入常见的陷阱。
评论