分类
初學者該知道的外匯那些小事

NFT 平台安全指南

iPhone

Web 3防骗指南:Discord用户必备的安全技能

数据显示,2022年1月,有至少44台Discord服务器遭到攻击,损失超过100万美元。 NFT项目作为一个对骗子们有巨大诱惑力的竞技场,已经有人开始以工业模式,规模化的诈骗团队进入NFT领域。但是,这些都没有影响Discord的增长。9月份,Discord融资5亿美元,在巨大的增长中,其估值翻了一番多,达到150亿美元。聊天服务长期以来一直是视频游戏玩家的热门平台, 在过去一年里,它已成为加密社区事实上的城市广场,以至于每一个主要的NFT项目和分散的自治组织现在都有一台Discord服务器。

从表面上看,Discord没有提供任何与Slack或Telegram等传统企业消息平台截然不同的东西,后者主要提供语音和文本聊天工具。该公司成立于2015年,早期多是电子游戏玩家的交流平台,但在过去一年里,已经成为加密货币社区的组织活跃阵地,但其实Discord并没有提供任何与Slack或Telegram等传统企业消息平台完全不同的价值, 主要还是语音和文字的聊天工具。

Discord主要是提供了一个可以闲逛的地方,但是游戏玩家后来被加密淘金者所取代,很多人坚信去中心化互联网时代的到来 ,而随着NFT价格飙升,Discord为DAO和NFT提供了一个现成场所, 一个没有看门人的自由俱乐部,以及一个足够举办数千人聚会的会议空间

2019年再到现在,Discord的MAU从5600万增长到超过1.5亿,这就带来了很大的安全挑战,而对个人Discord服务器的治理规则并没有迭代,因此,维护平台安全的责任在主要是服务器的个体负责人,有些是志愿者,而有些是DAO和NFT项目的员工划分相对混乱。

The way Discord is set up, it makes it really easy to fall for those scams between notifications flying in every five seconds and the way you can change your avatar, your username,” said Nicholas Ptacek, a former computer security specialist at SecureMac who now writes about NFTs and crypto. “NFT 平台安全指南 It's kind of a scammer’s paradise.”

去中心化体制的后果就是:没人能全权对某件事情进行负责。Discord是否对其用户的福利有安全责任?还是说每个服务器的负责人需要保护用户安全?还是用户自己需要学习所有的安全常识,例如不要点击陌生人发送的链接?

从安全专家的角度来看,诈骗数量只是一方面;更重要的是很多诈骗手段越来越复杂。就像免疫系统运作一样: 尽管NFT持有者对普通的骗局有了一定免疫力,例如不信任任何陌生信息,会保护好自己的助记词。但是,由于安全功能尚且有限,越来越多的新方式开始出现,用户欺骗Web3er。

但是,受骗者基本没法追回损失。尽管OpenSea会标记被盗物品并阻止它们在平台上交易,但它无法撤销交易,这意味着它无法将被盗的NFT返还给其合法所有者。 Chilton Yambert Porter的知识产权律师乔纳森认为,通常情况下,受害者只能写信给无意中购买被盗NFT的人,全额回购艺术品。因为有关部门对这个世界没有明确的监管,所以大部分时候只能愿赌服输。

来自Discord官方的安全建议

特征一,对方说话方式并不人性,例如用某些事项威胁你,还有一定的期限,警告你必须加入某个项目?链接?否则你会失去机会。这种骗子的特点之一就是,从没有在任何和用户共同服务器中发布过信息,也不与你共享共同服务器,但会突然来搭讪。

根据联邦贸易委员会的信息,2021年网络诈骗激增。尽管Discord的使命一直是让 Discord 成为互联网上人们找到归属感的最佳场所,我们很开心能看到基于兴趣的社区将人们聚集在一起,但我们也看到一些危险的人试图利用这些社区。

因此,在这里向大家分享我们正在采取的额外措施,并介绍一些可以可以在 Discord 上保护自己的方法。希望你把这些安全技能牢记心间:

对于普通用户:

  • 不要点击来自未知发件人或看起来可疑的链接。
  • 不要下载程序或复制/粘贴你不认识的代码。
  • 不要把你的密码透露给任何人!
  • 不要分享或屏幕共享你的授权令牌。
  • 不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。
  • 启用2-Factor Authentication(双因素认证),以尽可能地保证你的账户安全。

对于服务器负责人:

  • 审核服务器权限,特别是像webhooks这样的高级工具。
  • 保持官方服务器邀请函的更新,特别是如果你的大多数新服务器成员来自 Discord 之外的社区,请实时更新。
  • 同样,不要点击可疑的或未知的链接,如果你的账户被泄露,它可能会对你所管理的社区产生更大的影响。

互联网安全检查表

(Internet Safety Checklist)

1.只打开来自你认识的人的可信链接

大量的安全问题源于用户在检查链接是否是真实之前就点击了它们,始终仔细检查你要点击的链接,link shortening services 可以轻易地掩盖不安全的网站或程序。建议通过像VirusTotal这样的资源来检查它,看看是否有人已经把它标记为潜在的危险。

2.注意URL拼写

3.不要下载程序或运行你不了解的代码

4.不下载、运行来源不明的软件

5.谨慎注意陌生人发你的程序

Discord安全检查表

(Discord Safety Checklist)

To adjust who can and can’t DM you, head into User Settings > Privacy NFT 平台安全指南 & Safety, then scroll down to “Server Privacy Defaults.” From there, you’ll find the option to “Allow direct messages from server members.” 注意,这个新状态只适用于改变设置后加入的服务器;它不会影响你已有的服务器。

如果在一个你信任的服务器中,并且不介意被里面的人发消息,你可以在个人基础上切换隐私设置。 Head to that server on desktop or mobile and select its name to open the server's NFT 平台安全指南 settings, and choose “Privacy Settings.” Once there, you’ll find the “Allow direct messages from server members" option. Turn that on, and you’re free to receive NFT 平台安全指南 all sorts of DMs from everyone in that server, regardless of if you’re friends or not!

审核服务器权限

  • 了解模版和服务器内成员有哪些权限,是保持其中每成员安全的关键。如果你是一个服务器的所有者,最近检查过权限列表吗?谁有什么权限?你知道他们有这个权限吗,时间有多长?
  • 要确保只有你信任的版主才有权限改变强大的服务器工具,包括你可能添加到服务器的任何机器人,对冒充大型知名机器人的机器人要保持警惕。
  • 保持邀请链接的更新

(This is doubly-so for servers Partnered, Verified or Level 3-boosted servers that utilize a vanity URL: if your server loses or changes its custom invite link, nefarious communities may swoop in and claim your old one. If this happens before you update your public-facing invites, people trying to join your community may instead join a server that’s looking to cause trouble. )

注意!如果有人获取 你的Discord 帐户的控制权,就可以改变你的用户名、密码、与账户绑定的电子邮件,以及与你的账户相关的任何其他信息。一旦盗窃者进入你的Discord账户,他们就能看到你的所有个人信息。从服务器布局到服务器权限,到机器人,甚至可以把你的所有用户踢出服务器,如果你的账户是黑客瞄准的服务器的负责人,甚至可能利用你的账户作为垫脚石,在社区内进一步进行破坏,冒充你来欺骗毫无戒心的成员。

一切职业诈骗者,还可能针对那些拥有不可复制的独特档案徽章的 Discord 帐户,如早期支持者的特许徽章等等,如果你有这些独特的徽章之一,就应该对你的账户格外警惕。

新手必讀|NFT 防盜指南:如何保護資產安全?

新手必讀|NFT 防盜指南:如何保護資產安全?

(1)從官方網站購買 Keystone 錢包。
(2)安裝 Keystone 套件。
(3)啟動 Keystone。
(4)設置你錢包的 PIN——專屬於此設備的口令。
(5)如果是企業使用的話,推薦使用 Shamir 私鑰分割方案,把 2 組助記詞分成 3 組,或把 3 組助記詞分成 NFT 平台安全指南 5 組,你可以把這 3 組私鑰保存在不同地方。如果你有 5 個 Shamir 備份中的 3 個並且丟失了其中 2 個,你仍然可以使用剩餘的 3 個備份來恢復您的錢包。

我們以轉移一個 BAYC 為例具體來看 NFT 硬體錢包的使用。在 Keystone 中,用戶可以使用 microSD 卡中上傳的 ABI 數據文件快速確認地址的真實性,地址旁邊會出現藍色字體的 “Board Ape Yacht club”,還需要確認該交易是否涉及任何惡意行為,以免將您的 NFT 簽署給詐騙者或駭客。

避免 NFT 詐騙的方法

1. 務必從官網下載 NFT 平台安全指南 Web3 app 或錢包

導致加密 / NFT駭客攻擊的主要原因是用戶對非官方網站的訪問。絕大多數此類網站是為了行騙而建立,看上去與官方網站極其相似。不要從 Google Play 下載 Web3 app,它們可能不是從原始渠道獲取的。你可以參考以下建議,來鑑別官方網站:

(1)關注網址欄。只點擊以 NFT 平台安全指南 https:// 開頭的網址(不要點http://!),“s”代表“安全”,表示該網站的數據是加密傳輸的,能阻止駭客攻擊。

(2)檢查域名。駭客最青睞的伎倆就是創建山寨網站,其域名與正版網站十分相似,只有雙擊才能察覺區別。例如,https://wobble.com 這個網站的山寨版可以是 https://w0oble.com 。請記得時時雙擊域名的所有字母。

2. 只瀏覽官方頻道、官方推特和官方連結

(1)檢查帳戶活動。
(2)檢查粉絲數。
(3)檢查帳戶歷史。
(4)檢查評論和參與度。

3. 不要與任何人共享登陸憑證或私鑰

4. 先驗證 NFT 再購買

在NFT生態系統中,盡職調查總是非常重要。購買或鑄造 NFT 之前,務必要檢查項目涉及到的團隊的聲譽,其社區中的有機互動,以及人們對該項目的看法。

5. 使用多個錢包鑄造 NFT

比如,Burner 錢包是專為 NFT 鑄造創造的二級錢包。這些錢包都是以鑄幣所需的 gas 數額來創建並注資。鑄幣完成後,鑄成的 NFT 被發送到另一個錢包,它的作用是存儲 NFT。這就減少了主錢包與易被攻擊網站互動的風險。你可以創建多個 NFT 平台安全指南 burner 錢包,一旦發現漏洞,就立即丟棄它。

6. 謹慎點擊陌生帳戶的連結

駭客的常見騙術,是通過陌生的 Discord 帳戶或冷郵件發送贈品或白名單連結。務必將Telegram、Discord 和郵件設置為不接收陌生賬戶或非官方地址的消息,也請提防用戶假扮群主或官方 DM 你。

7. 檢查令牌批准&撤銷不使用的令牌

8. 進行下一步之前,仔細閱讀並核實智能合約的交易條款

9. 緊跟新聞,了解新漏洞

人們對 NFT 平台安全指南 NFT 市場的興趣日益增加,不法分子也潛伏其中,利用伎倆從收藏者和投資者手中偷取作品和資金,請確保自己的寶貴資產、錢包和資金不落入駭客手中。

縝密的可怕!以太坊巨鯨自曝遭遇「社交工程詐騙」,1.25 億美元 ETH 險些被盜!

NFT開發者遭釣魚網站「盜走16個CryptoPunks」,給出註記詞的代價破百萬美元

如何查證 NFT 真假?避免「睡眠鑄造 Sleepminting NFT 平台安全指南 」詐騙、Forta 平台教學

讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

欧易NFT Marketplace操作指南

欧易NFT Marketplace链接多链生态,目前已支持包括OKC、ETH、BSC、Immutable X、TRON、Polygon等多链接入;未来还将接入Solana、zksync、Arbitrum、AVAX等链,这意味着,加密圈主要的头部公链,将与欧易NFT Marketplace无缝衔接。接下来,这些链上的优质NFT资产,可以轻松快速地在平台上完成流动,加密圈用户和NFT资产之间的界限将被有效地消除,一个真正高效流通、无缝获取的低门槛NFT世界,正在欧易NFT Marketplace上徐徐展开。

NFT 平台安全指南

二、如何购买NFT?

  • 若在您选择的过期时间内,卖家选择与您交易,你便会成功购买此NFT;
  • 若在您选择的过期时间结束时,卖家没有选择与您交易,您的出价单会自动撤销。
  • 若在您选择的过期时间内,其他买家以标价直接购买此NFT,您的出价单也会自动撤销。

QA:如何在一级市场参与NFT首发活动?

  • Mint活动为OKX NFT与优质头部项目方合作,集成众多项目合约铸造方法,用户可以通过Web3接入,获得第一时间铸造NFT的机会
  • 白名单活动为欧易NFT甄选头部优质项目,对欧易NFT忠实用户倾斜的抢购模式,用户需完成白名单任务来获得抢购资格。

3、连接Web3 钱包 并完成支付即可。抢购成功的NFT可在资产看板查看。

二、如何出售NFT?

3、如果您是第一次上架 NFT,需要先初始化账户,并授权您的 NFT。完成后,点击【出售】,进入【编辑价格】弹窗,设定商品的价格及数量,确认后即可上架。

NFT 平台安全指南

三、如何创作NFT?

1、登录欧易官网,点击首页上方导航栏【Web3 钱包】—【NFT市场】—【创作NFT】。

2、选择文件类型(本平台支持创作图片、视频、音频型NFT),上传您的NFT作品,并对作品进行命名和描述。您可以自行设置每一次交易获得的版税比例,设置完成后点击【创作】。

3、NFT作品上传时需要支付手续费(具体费用取决于当前网络的Gas price),点击【确认】进行支付。支付完成后NFT即创建完成,可点击【资产看板】—【NFT】查看您的NFT作品。

下载比推 APP

iPhone

Android

NFT 防盗指南:如何保护资产安全?

区块链安全和数据分析公司PeckShield编写的表格显示,在一次钓鱼攻击中,254个总价值约为170万美元的NFT遭到盗窃;愚人节当天周杰伦的NFT BAYC#3738被盗走,该事件是典型的由钓鱼网站诱导mint从而获得用户NFT操作权的案例;一个名为MoonManNFT的项目,该项目借由free mint的名头,盗走了近400个NFT……

NFT安全存储基本知识

请牢记:

  • 你的NFT并非储存在电脑或移动设备上,而是在IPFS或Arweave这样的去中心化空间。
  • 拥有私钥,就有了对区块链/你的资产的完全访问权限。
  • Shamir 私钥分割方案能为助记词提供二级保护。

1. 你的NFT储存在哪里?

2. 你的图片、动图和音乐在哪里? NFT 平台安全指南

3. 钱包

你可以自由分享钱包的公共地址,此地址与 Web3的电子邮件地址没有区别,知道了你的地址,任何人都能向你发送NFT。 这也就催生了新的黑客攻击载体。黑客会向人们发送NFT,当人们与该NFT互动时(比如将其发送至另一钱包,或出售它),黑客就会窃取此人钱包中的资产。请谨记,不要点开陌生NFT!此外,人们也会利用流氓签名或批准来获取你的IP地址。

钓鱼邮件也是寻常的诈骗方式。邮件的目的是引诱你把钱包连接到虚假网站,以便黑客窃取资产。所以,千万不要点开陌生链接!务必时时检查网站名称。目前黑客攻击的方法比较单一,只能从公共地址和电子邮件下手,只要不理会它们就可以了。

  • 助记词 + “NFTGo”
  • 助记词 + 任意数字
  • 助记词 + 任意字母
  • 助记词 +任意短语

4. 添加第二层保护

购买冷钱包是提升安全性的有效途径。Trezor,Ledger和Keystone是几款最受欢迎的硬件钱包,但各自有优势和不足。每种冷钱包都有其特色。比如 Keystone 使用二维码进行数据传输,避免了木马病毒通过 USB 接口或者蓝牙被传输到硬件钱包的风险,同时也是首个支持 ENS (Ethereum Name Service) 的硬件钱包,免去了核对原始地址的麻烦。此外,用户可以用 NFT 自定义其4英寸的屏幕。

我们以 Keystone 为例进行设置。

(1)从官方网站购买 Keystone 钱包。

(2)安装 Keystone NFT 平台安全指南 套件。

(5)如果是企业使用的话,推荐使用Shamir私钥分割方案,把2组助记词分成3组,或把3组助记词分成5组, 你可以把这3组私钥保存在不同地方。如果你有 5 个 Shamir 备份中的 3 个并且丢失了其 中 2 个,你仍然可以使用剩余的 3 个备份来恢复您的钱包。

我们以转移一个BAYC为例具体来看 NFT 硬件钱包的使用。在Keystone中,用户可以使用 microSD 卡中上传的 ABI 数据文件快速确认地址的真实性,地址旁边会出现蓝色字体的“Board Ape Yacht club”,还需要确认该交易是否涉及任何恶意行为,以免将您的 NFT 签署给诈骗者或黑客。

图片

避免NFT诈骗的方法

1. 务必从官网下载Web3 app或钱包

导致加密/NFT黑客攻击的主要原因是用户对非官方网站的访问。绝大多数此类网站是为了行骗而建立,看上去与官方网站极其相似。不要从Google Play下载Web3 app,它们可能不是从原始渠道获取的。你可以参考以下建议,来鉴别官方网站: