NFT攻击向量(一)
- Spade_sec
- 更新于 2024-05-12 13:28
- 阅读 1102
在本系列文章中,我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
当提到NFT(非同质化代币)时,人们往往会想到数字资产的独特性和不可替代性。然而,随着NFT市场的迅速增长,也引发了一系列关于NFT攻击向量的关注。在本系列文章中,我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。在这里阅读有关 NFT 的更多信息。
1.NFT交换诈骗
描述:
除了NFT市场外,另一种交易NFT的方式是通过“swap”服务,参与者通过交换他们的NFT而不是用加密资产购买或出售它们。
典型的诈骗行为包括冒充NFT相关Discord服务器上的交易者。他们提出通常非常有利可图的交易,然后邀请受害者使用其诈骗网站来进行交换,从而夺取受害者的NFT。
参考资料:
2.“特洛伊木马”NFT
描述:
在2021年9月,一名受害者在与恶意空投的NFT进行交互后发推文称其资产可能被盗。黑客通过发送恶意NFT窃取受害者资产的可能性引起了NFT社区的关注。然而,分析人士在分析受害者的区块链活动后指出,更有可能的罪魁祸首是典型的网络钓鱼链接。
这种漏洞使得NFT在交互时触发了恶意弹出窗口,导致受害者无意中授予了黑客对其钱包中存储的其他NFT的访问权限。这种通过OpenSea的漏洞实施的诈骗在其被广泛利用之前已被修补。
特洛伊木马NFT表明了NFT可能包含潜在恶意数据或命令的更广泛潜力。2022年1月,Convex Labs的Nick Bax展示了一个Poc NFT,该NFT可以通过将额外的元数据编码到其动画URL中来记录观看者的IP地址。这是一个(可以说是无害的)演示,说明了NFT不仅仅局限于简单的JPEG图像,而且可能促成恶意意图。
参考资料:
https://www.artnews.com/art-news/news/stolen-nft-scams-heist-100m-elliptic-1234637363/
3.冒充诈骗
描述:
冒充诈骗涉及犯罪分子假装是NFT市场或托管钱包服务的支持人员。这些骗子在社交媒体上活跃,利用公开抱怨软件漏洞和技术困难的个人,鼓励他们通过直接消息联系,以便解决问题。然后,骗子会要求用户提供他们的钱包助记词,受害者——相信他们是真正的支持人员——会配合提供。
参考资料:
https://www.youtube.com/watch?v=eNfEbAv7rqQ
4.Rug Pull
描述:
Rug Pull是指开发者炒作一个NFT,在从投资者那里获得大量资金后退出的一种诈骗行为。这些不诚实的开发者通常利用社交媒体来建立对他们的NFT的信任和喧哗,同时等待投资者的资金涌入。然后,一旦他们有足够的资金,他们就会关闭整个项目,携款消失。
一个典型的NFTRug Pull诈骗案例是由两名20岁的年轻人Ethan Nguyen和Andre Llacuna操作的Frosties NFT Rug Pull。他们吹捧他们的NFT,承诺了几项福利,包括独家铸币通行证、赠品和在一个元宇宙游戏中的优先权。然而,在投资者注入超过130万美元后,他们关闭了他们的网站和社交媒体账户。
参考资料:
https://nftnow.com/features/the-biggest-rug-pulls-in-nft-history/
5.NFT复制品
描述:
NFT的复制品也可以被铸造,以诱使易受骗的买家购买,并且没有办法阻止这种复制。但是NFT市场正在全球范围内蓬勃发展。以至于甚至包括像Meta(之前的Facebook)这样的跨国科技巨头据称也计划进入NFT的世界。
任何人都可以轻松复制NFT艺术品。甚至可以将别人的艺术作品转换为NFT并在在线市场上出售。
参考资料:
6.恢复诈骗
描述:
几乎所有在社交媒体上公开报道的NFT(或其他)诈骗都会自动触发大量机器人,让受害者联系某种能够据称恢复被盗资产的技术方。一些骗子可能不是机器人,而是在与受害者进行交谈后邀请受害者联系假的恢复专家。所有这些消息都是诈骗 - 并试图通过激起对“恢复服务”的“预付款”,进一步欺骗受害者,而这些服务实际上从未提供。
参考资料:
https://medium.com/coinmonks/there-are-hundreds-of-nft-scammers-on-twitter-2a35b7a3ae70
总结
这篇文章总结了几种与NFT相关的攻击和诈骗,包括Trojan Horse NFT、NFT交换诈骗等。文章强调了对这些常见诈骗的警惕,并提醒用户保护自己的资产。
