概述
NFT 项目正在加密货币领域成为主流,并可能会长期存在。随着越来越多的创作者、收藏者、品牌和行业探索 NFT 的实用性和数字艺术世界,建立和启用安全的平台在 NFT 生态系统中至关重要。本指南将涉及 NFT 领域的近期黑客攻击、NFT 社区和智能合约的风险,以及 NFT 项目的安全最佳实践。
NFT 黑客攻击
NFT 与任何其他价值存储没有区别,它们也吸引了恶意行为。吸引 NFT 创作者、收藏者和社区项目的相同特征也是黑客喜欢 NFT 的原因。大多数成功的黑客攻击都是由于攻击者能够利用松散的安全措施而发生的。让我们来看一下:
Nifty Gateway
黑客从用户账户中窃取了价值数千美元的艺术作品。Nifty 表示他们的平台没有被攻破,而这些是没有启用两步验证(2FA)的用户。
Beeple
诈骗者能够入侵著名数字艺术家 Beeple 的 Twitter 账户。攻击者发布了一条官方铸造链接的推文,承诺向 200 多件作品提供免费的铸造。一旦用户的钱包连接上,就被清空,攻击者窃取了大约 40 万美元的加密资产。
Bored Ape Yacht Club
这个流行 NFT 项目的 Instagram 被黑客入侵,攻击者发了一条钓鱼帖子,连接钱包到一个假的智能合约。一旦连接,钱包中的加密货币和 NFT 都被清空。四个 Bored Apes 涉及其中,还有其他资产,总计损失约 300 万美元。
OpenSea
这个市场遭遇了钓鱼诈骗,以及利用一个漏洞的攻击,使得用户可以以远低于 NFT 实际市场价值的价格购买 NFTs。
Adidas
智能合约漏洞被利用,绕过了针对特定钱包的最大购买代币限制。攻击者可以通过简单地删除每个钱包限制的两件 NFT 的购买数量,收集 330 个 NFT。
Magic Eden
作为最大的 Solana NFT 市场之一,由于发生了两个重大的 rug pull,导致失去了数十万美元,不得不暂停他们的平台和服务。两个项目 King of Chess 和 Balloonsville 是诈骗的幕后推手。Magic Eden 退还了这两个项目的铸币者,并采取措施防止未来的 rug pull。
NFT 社区中的安全漏洞
你可能会惊讶地知道,NFT 的安全保障并不完全发生在区块链上。上面提到的许多最近的 NFT 黑客攻击都是由于凭证泄露、安全卫生差和钓鱼尝试造成的。
如果你在管理一个 NFT 项目的社区,这可以是相当具挑战性的,特别是当你负责多个社交媒体账户(如 Twitter、Instagram、Discord、Telegram 等)时。与你的 NFT 项目相关的所有账户都可能受到诈骗和社会工程攻击,并且与每个账户相关的所有用户(关注者、群组等)都是各种诈骗(如钓鱼、代币复制、空投和 rug pull)的目标。
可以针对 NFT 社区的常见 NFT 诈骗机制:
代币复制
恶意代币通常可以伪装成流行代币,由于价格波动,价值可能会剧烈波动,从而导致巨大损失。
Rug Pull
这些类似于金字塔骗局,代币的创建者会炒作一个项目,并迅速投入大量资金以实现快速增长。一旦达到所需价值,他们就会撤回资金,使项目/代币变得毫无价值。
空投
这些通常发生在项目启动时,代币可能会赠送给用户,而不是购买。常见的设置是,当你尝试执行某个操作时,代币不会交换,用户将被重定向到一个要求个人信息、助记词、私钥等的网站。
社会工程
这些是针对社区发起的钓鱼和针对性钓鱼攻击,诱使他们点击恶意链接或附件。这些攻击也可以针对账户所有者/管理员发起,以让他们透露敏感信息(密码、助记词等),以便能够接管账户。
即使是先进的加密和技术用户也可能易受威胁行为者、诈骗、恶意软件、设备妥协、账户妥协以及资产和资金损失的影响。
保护你 NFT 项目的提示
安全性是困难的,但你可以作为社区经理或智能合约开发者实施多项最佳实践,以提高你的 NFT 项目的安全性。
保持学习和意识到你最常互动的数字环境将使你能够适应并避免诈骗。诈骗者将针对 Twitter、Discord、Telegram、Metamask 和 OpenSea 等常见加密平台和媒介来尝试进行诈骗和账户接管。电子邮件是钓鱼活动中最常用的媒介。官方支持账户永远不会要求你提供助记/恢复短语或私钥。
社区管理
密码和 2FA 保护
-
通过密码管理器保护你的密码。
-
生成复杂且唯一的密码(这也可以通过密码管理器实现)
-
避免在网页浏览器中存储任何密码,特别是针对基于浏览器的钱包。
-
在每个账户上启用 2FA,特别是如果你是账户管理员。
-
如果可能的话,避免使用 SMS/电子邮件身份验证,使用应用程序基于的 2FA。
-
在回复、点击或分享任何信息之前,验证发送者的电子邮件地址。
钱包安全
保持你的工具和设备最新
尽可能保持浏览器、设备和操作系统的最新状态。
确保你使用最新版本的所有工具、第三方库和集成点。
智能合约安全提示
- 别跳过安全审计。
- 别人的新眼光总是有帮助的。请从你项目之外的其他人那里获取帮助,以完成审查。
- 小心/注意额外功能,虽然这在像以太坊这样的多个平台上可能很流行,但额外功能通常有安全权衡。
- 遵循支持复杂、多功能智能合约的协议的最佳实践。
- 在可以的地方利用自动验证工具进行额外的安全验证。
- 编程语言的选择很重要。如果可能,选择一种考虑到安全性的语言。许多语言将提供强大的能力来创建复杂和高度功能化的合约,但这会增加出错的机会。更简单的语言使得开发更容易,出错的几率更低。
- 遵循特定于你区块链网络的智能合约开发最佳实践。
- 利用每个区块链的特定框架。
- 测试对于合约功能的单元测试以及在生产版本之前使用区块链测试网络至关重要。
- Bug 赏金是一种加快安全审查过程并让外部人员验证你的智能合约的好方法。
- 使用特定于你的区块链网络的其他测试工具;形式验证、符号执行、编码规范检查器和测试覆盖率分析器都是几种工具。
- 检查并验证你项目的所有第三方应用程序、集成和库,既包括智能合约/应用程序层,也包括你的社区。虽然第三方库、工具和应用程序很好,但它们可能会出现许多漏洞。
- 使用第三方开发者/承包商构建智能合约是很常见的。仔细审查这些团队!
- 实施社区准则可以帮助保护你的用户。在这里,你可以列出经过验证的沟通渠道、沟通使用指南、参与指南、验证链接,以及用户安全提示和帮助等额外资源。
如果你怀疑自己被攻击该怎么办
没有人想考虑最坏的情况,但如果出现问题,做好计划将帮助保护你的社区及其资产。如果你怀疑自己已经被攻击,可以采取以下措施:
1. 制定一个计划!了解如果发生什么事情你将采取的行动以及联系谁。
2. 团队中有一个安全专家或朋友,可以帮助你指导应对措施。你可能会感到压力,他们能够提供帮助。
3. 立即更改你的密码和 2FA。
4. 尽快通知你的社区,以便他们不会点击任何恶意链接或回复任何可能包含恶意软件的虚假信息。
5. 如果被攻击的密码在其他账户中使用,立即对此进行更改。
6. 检查钱包是否有可疑交易。
7. 断开与相关网站的任何钱包连接。
8. 尽快将所有资金或 NFT 转移到新钱包。
9. 立即更改钱包密码和任何 2FA。
10. 检查设备是否有可能被安装的恶意软件。
11. 在可以的地方部署支出限额和智能合约批准,以避免大额损失。
12. 在攻击者尝试进行任何转移的情况下,启用允许转账到安全地址的选项。
结论
NFT 为投资、品牌合作、数字艺术收藏和增强创作者经济提供机会。与任何其他资产一样,NFT 也可能通过多种漏洞被利用。无论缺陷是在智能合约、市场还是社交媒体账户中,构建 NFT 项目的人员都必须了解风险以及如何减轻这些风险以保护社区。安全审计和使用安全最佳实践是保护这些宝贵资产的关键。
请订阅我们的 新闻通讯 以获取更多文章和指南。如果你有任何反馈,请随时通过 Twitter 联系我们。你还可以随时在我们的 Discord 社区服务器上与我们聊天,这里聚集着一些你从未见过的酷炫开发者 :)
