如果你的錢包在最近收到了很多NFT 空投,請你一定要提高警惕,你接下來的一舉一動可能葬送你的全部藏品。
9 月21 日,推特網友AJ(@babbler_dabbler)發推表示自己的錢包被盜,損失了包括達米安·赫斯特作品《The Currency》在內的高價值NFT,而據他描述,他犯的錯誤只是與那些突然出現在他賬戶中的NFT 進行了交互。按照他被盜NFT 的地板價計算,這一次AJ 損失了13.75 ETH,約合4.13 萬美元。
這種騙局在DeFi 領域其實是很常見的事情。
近期,不少用戶的錢包中都會莫名其妙地收到一些此前從未聽說過的代幣,它們通常會以「.io」結尾,而當你收到這幾十萬枚代幣後,興致勃勃地來到Uniswap 準備把它們交易成ETH 時你會發現這些代幣價值上萬美元,雖然流動性不足以支持你將這些代幣一次性拋售,但起碼還有一個流動性池可以慢慢賣出去。
請注意,你即將落入騙子的圈套。
有的騙子會在合約中限制賣出,用戶只能買入,這樣代幣的價格就會一路攀升,幣價的飛漲也會讓更多投機者盲目追高,而當騙子對自己的收益滿意時,只需要撤出流動性即可將騙來的ETH 裝進自己的口袋裡。
而更危險的是上文中提到的那些以「.io」結尾的代幣,這些代幣在交易前的授權必須要去這些騙子項目的官網進行,而一旦在那些網站授權,就相當於把自己的錢包拱手相讓,騙子將會有權力將你錢包中的資產全部轉移。
NFT 空投安全嗎?
如今,隨著NFT 的火爆,這樣的騙術也出現在了NFT 領域。
如果你是NFT 的深度玩家,相信你的錢包也一定會經常收到一些NFT 空投。大部分創作者的目的都是藉助空投的形式宣傳自己的作品,讓自己的作品出現在一些NFT 深度玩家的視線中,為自己的作品博得更多的關注,區塊鏈的透明讓我們無法阻止這種行為,而且這樣的行為是合理的。
但並不是所有人都沒有摻雜惡意。 AJ 在推特上表示自己只進行了三次反常的操作,那就是將莫名其妙出現在自己賬戶中的NFT 分別隱藏、掛單、接受出價。由於「隱藏」是OpenSea 提供的功能,是鏈下操作,因此問題只可能出現在掛單和接受出價這兩個操作中。
在使用OpenSea 時,我們每和一個新的收藏品系列交互時都需要支付一次Approve 的費用,這其實是十分危險的操作,但是進入NFT 領域的新人較多,且此前沒有發生過類似的被盜事件導致人們放鬆了警惕。
而當用戶與騙子部署的合約交互之後,騙子便可以轉移走用戶的資產,雖然OpenSea 可以暫時凍結被盜的NFT 禁止交易與轉移,但騙子們採取的方式大多數為直接接受機器人對NFT 的遠低於地板價的報價,然後將獲得的ETH 轉移到自己的錢包中,而與此同時,被盜的NFT 可能已經經歷了多次轉手,即使OpenSea 將NFT 凍結,被懲罰的也不是騙子。
除此之外,一些騙子會在NFT 的隱藏鏈接中植入詐騙網站。
一些NFT 創作者會將作品的源文件放入隱藏鏈接中,因為OpenSea 等網站顯示出來的往往並非作品原圖,創作者們通過在隱藏鏈接中放入源文件存儲的網盤鏈接等方式讓藏家可以拿到最高質量的作品。
但同樣,NFT 玩家們的低警惕性給了騙子們可乘之機。當藏家進入詐騙網站後,資產便又會不翼而飛。
為什麼騙子們在近期將目標轉移到了NFT 玩家身上了呢?
第一個原因便是上文中屢屢談及的警惕性的問題,由於此前在NFT 領域中沒有發生過類似的事件,因此人們想不到會有這樣的騙術;
第二個原因是如今高價值、高流動性的NFT 越來愈多,從CryptoPunks 到Bored Ape、Cool Cats,再到一件件知名加密藝術家的作品,它們往往有著極高的價值,同時也有著較強的流動性,更關鍵的是大多數知名項目都會有機器人海量掛單,確保隨時都可以套現,這在提高了流動性的同時也為騙子降低了套現難度;
第三個原因是買得起大量高價值資產的用戶往往是「不差錢」的,騙子在將他們的NFT 套現後也許還能從錢包中拿到更多的「驚喜」。
如今,在NFT 領域中頻繁交易的人們也需要時刻保持警惕,我們需要注意些什麼呢?
首先,不要點擊任何可疑的鏈接,這是人們最常被騙的方式;
其次,保管好私鑰、助記詞,不要共享自己的電腦屏幕,做好最基礎的安全保護措施;
第三,別碰錢包中莫名其妙出現的「空投」,沒人知道這是一個大禮包還是一枚砲彈,因此我們需要做的便是盡可能地遠離它們,無論它們在哪條鏈、是ERC-20 代幣還是NFT。