今天上午,BAYC官方推特表示,其Discord服务器被短暂攻击并发布钓鱼链接。虽然团队很快发现并解决了这个问题,但仍有价值约200ETH的NFT受到了被盗。虚假钓鱼链接,正是时下流行的NFT术之一。如今,随着NFT的火爆,各种各样的局相继出现。假项目、假公告、假空投、假中奖、假交易等等,各种暗礁相继涌现,并且屡试不爽,总有一款能够收割用户。用户提高自身警惕性,固然可以降低上当的概率。但是,Web3市场能否有一款产品,帮助用户进行项目甄别,提示风险,进而彻底远离局?一、NFT局泛滥成灾
最近一年,加密玩家对NFT资产的兴趣普遍上升。与此同时,各类NFT局也呈爆发式增长,几乎每一个NFT玩家,都或多或少遭遇过某种术。无论您是新手还是NFT专家,都应该保持一定的警惕,以免上当受。下面,我们列举了目前市场上五种主要的NFT局,帮助大家提高警惕。一是假项目。与Token一样,NFT市场山寨项目始终不绝。2021年盛夏,随着BAYC走热,各类打着「猿猴」旗号的山寨项目如雨后春笋兴起,并且喊出各种口号,诸如“下一个NFT蓝筹”,诱导用户投资购买该项目NFT。然而,用户Mint完成后,这类项目通常会在几天内迅速删除各个官方社交账户,关闭网站,卷款跑路,曾经作出的各种承诺、规划都成了一纸空文——业内俗称「rugpull」。从结果来看,项目NFT价格上线即巅峰,最终随着崩盘走向归零。二是假中奖。常年活跃在Discord社区的你,一定收到过各种虚假「中奖信息」,这些子通常假冒官方社群工作人员,发送钓鱼链接。前段时间Web运动程序Stepn大火,几乎每天,我的Discord账户都会收到几十条私信;这些账户的用户名、头像与Stepn项目方一样,他们告诉我中奖了,可以优先MintNFT;并且,子的网址达到了以假乱真的效果,与官方域名几乎一样,只有微小的差别,用户很容易上当受。如果稍有不慎,点开了对方发送的欺诈网站并连接了自己的数字钱包,往往会造成财产损失。
Meta将广告、商业信息和商务部门合并新部门:金色财经报道,消息人士透露,Meta Platforms的广告、商业信息和商务部门将合并为一个新部门。Meta负责货币化的副总裁John Hegeman于上周通知员工这一变化。
?据悉,此举是为了帮助公司“减少中层管理人员的数量”,并刺激其平台上的广告增长。?(鞭牛士)[2023/4/28 14:32:25]
实际上,几乎每一个项目都列出了关于scam的频道,并且强调官方永远不会DM社群成员。对于用户而言,最简单的做法是直接忽略,或者直接关闭私信功能——当然这会让我错失很一些社区成员交流的机会,因此我一直没有关闭。三是假公告。Discord中还有一种技术型黑客,他们会黑进一些项目管理者的账号,然后发布假公告;公告的主要内容通常是,项目方给用户送福利,限时低价MintNFT,并附上各种虚假网址。这种局主要利用用户盲目心理以及贪婪心理,降低了警惕性,从而得逞。在过去一个多月,这类事故在Discord频发,如下所示:·5月12日,RaribleNFT交易平台Discord遭攻击,钓鱼链接在Discord中流传;·5月11日,NFT项目Hacktivist的Discord官方账户被盗,发布公告扩散虚假mint链接;·5月9日,NFT项目GraBoys的Discord被黑客入侵,攻击者扩散虚假mint链接,偷取用户NFT;·5月9日,NFT项目SeaHorseArmy的Discord被黑客入侵,攻击者扩散虚假mint链接;·5月6日,NFT市场OpenSea官方Discord遭遇攻击,黑客利用机器人账号在频道内发布虚假链接;四是假交易。Discord还有一种子,以虚假交易为生。首先,子会提供一个非自己控制的虚假地址,一般里面都会有BAYC或者其他高价值的NFT,以此来吸引用户;而后,子会提出想要场外打折出售这些NFT,让你向其提供的目标地址转账。这种局看起来低端,但仍然有不少贪图小利的用户上当。关于虚假交易,不得不提在Opensea上很火的另一种虚假NFT交易。子首先将一个NFT以低于地板价很多的价格挂单,并在随后一秒取消挂单,将价格设置地非常高。通过利用Opensea价格价格会延迟的特性,不少用户在没有确认最终价格后就以一个昂贵的价格购买了低价NFT。五是假空投。几乎每一个NFT玩家的钱包,都收到过来历不明的空投。当玩家使用Opensea对这些空投NFT进行挂单出售时,需要与该藏品进行交互时并支付一次Approve的费用;此时,子提前设置的智能合约就会触发,进而直接盗走用户账户私钥以及账户内高价值资产。去年9月,推特网友AJ发推表示自己的钱包被盗,损失了包括达米安·赫斯特作品《TheCurrency》在内的高价值NFT,约合4.13万美元。被盗的根源在于,其点击了来源不明的NFT空投,导致私钥泄漏。二、MOJOR甄别项目,降低局风险
Coinbase或将放弃注册许可证退出日本市场:金色财经报道,出于对 FTX 破产对整个加密市场影响的考虑,纳斯达克上市加密货币交易所 Coinbase 正在考虑退出日本市场。Coinbase 于 2021 年和三菱日联金融集团合作正式在日本开展业务,而且还获得了后者 10 亿日元(约 774 万美元)的投资,但现在 Coinbase 希望探索日本业务的“替代方案”,包括出售公司、或是放弃注册许可证。(finbold)[2023/1/17 11:15:13]
上面这些局,在如今的NFT市场中比比皆是,不仅困扰着Web3玩家,也让项目组织者非常困扰。当然,这并不意味着这个问题无解,我们无能为力。提高自身警惕性永远是最重要,也是最关键的一环。除此之外,通过技术手段也可以帮助我们降低上当受的风险,这正是Web3社区平台MOJOR着力解决的问题。MOJOR是一个基于NFT构建的Web3社区平台,专注于Web3基础建设和服务,弥合传统互联网和Web3的鸿沟,搭建真正属于Web3的社区平台,能够无缝高效地解决社区问题,提升社区管理者的治理效率。我们结合上述局案例,来分析一下MOJOR是如何破解困局的:以假交易为例,由于MOJOR用户全部使用钱包地址登陆,用户此时点开对方账户面板,查看其身份系统相关信息,判断对方是否是真实的NFT持有者;另外,用户也可以通过MOJOR内部BOT之一NFTswap进行交易,无需跳转至Opensea第三方NFT交易平台,避免了临时改价问题。。其次是假项目问题,MOJOR会对项目组织者相关信息进行综合分析,给出评分。例如,从社交动态来看,山寨、仿盘项目Twitter通常注册时间短,互动量较低,粉丝量较低,存在大量僵尸粉),也没有大V关注。这些信息会被MAJOR识别,当用户点击项目信息表查看时会提示用户注意风险。再者是假中奖问题。当某个账户在MAJOR中收到私信虚假链接时,系统会自动提示风险,并且用户可以点击该账户详情页,直接看到该地址是否时项目组织者官方地址。比如,社区组织者可以给Mod以及管理员发送官方认证的POAP,如果用户查看私信地址,发现没有POAP认证,则可以视为冒名顶替,进而第一时间识破局,避免造成损失针对假空投问题,MAJOR会识别用户地址中的虚假NFT,发出警示,从而避免用户上当受。而假公告发生的可能性微乎其微,由于项目也是通过钱包地址登陆,不存在泄漏密码的情况,盗号风险大大降低。通过主观提高防范意识,以及客观技术防护,未来NFT社区术的生存空间将越来越小。
Binance NFT与泰森合作推出 “Mike Tyson Golden Mystery Box”NFT:金色财经报道,据迈克·泰森在社交媒体透露,Binance NFT 已与其合作推出 5000 枚 “Mike Tyson Golden Mystery Box” NFT,发行价为 44 BUSD,目前已售罄。[2022/12/4 21:22:03]
BAKC系列NFT近24小时交易额增幅超350%:金色财经消息,据OpenSea数据显示,Bored Ape Kennel Club(BAKC)系列NFT近24小时交易额为155.75 ETH,24小时交易额增幅达364.52%。[2022/8/7 12:07:46]
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。