黑客开始瞄准NFT，这份防盗入门指南请收好

Crypto的世界如同黑暗森林，你的身边可能潜藏着无数危机。从去年到今年，多位明星参与到NFT热潮中，让NFT持续升温。4月1日愚人节当天，”周杰伦持有的NFT被盗“登上热搜，这个概念再次被大众所熟知。随着NFT用户数、交易量和市值的不断攀升，钓鱼者、黑客等不法分子也开始瞄准这个市场，进一步威胁NFT生态的安全。

据区块链安全和数据分析公司PeckShield编写的表格显示，就在之前，黑客趁着OpenSea合约升级之时，给所有用户的邮箱发送了一条钓鱼邮件，不少用户将自己的钱包授权，进而导致254个总价值约为170万美元的NFT遭到盗窃，该事件是典型的由钓鱼网站诱导mint从而获得用户NFT操作权的案例，一般来说，黑客会通过Discord和Telegram锁定收藏者，并通过诱导mint、钓鱼攻击等方式盗走用户的NFT资产。

随着当下技术发展，NFT投资者和收藏者必须及时了解保护资产的最新方法，鉴于最近NFT领域诈骗频发，本文总结了几类常见的诈骗手段、希望大家时刻提高警惕，不要上当受骗。

诈骗手段：

01.通过Discord私信诈骗网站链接

Discord私信链接是是黑客常用的行骗手段，黑客往往会通过Discord不同的社区批量私信成员，或是冒充社区管理员以帮忙解决问题为由私信用户，骗取钱包私钥，又或是发送虚假的钓鱼网站，告诉用户可以免费领取NFT等等，用户一旦授权给黑客仿造的虚假网站，那么将会给用户带来巨大的亏损。近日，PeckShield发推表示，检测到一种新型的Discord骗局，诈骗者在DM上联系Web3开发人员，询问合作事宜，开发人员将收到一个链接并邀请加入Discord并设置支持票，加入Discord后，就会使用Captcha机器人来验证访问权限，一旦开发人员单击Captcha bot链接时，它将重定向到一个伪造的Captcha bot链接，从而窃取开发人员的恢复阶段。

02.攻击Discord服务器

Discord服务器被黑客攻击几乎是每一个火爆的NFT项目都会经历的事情，黑客会攻击服务器管理员的账号，之后在服务器的各个频道发布假公告，骗社区成员去黑客早就搭建好的假网站购买假的NFT，现如今的黑客会通过发送诈骗网站等方式骗取服务器管理员的Token，这样即使管理员开启2FA双重认证也无济于事，而如果黑客搭建的诈骗网站会要求用户钱包的授权，则会给用户带来更加严重的财产损失。

03.发送假的交易链接

这类骗术常见于骗子与用户私下磋商的NFT交易过程。Sudoswap、NFTtrader 等交易平台鼓励用户通过私下磋商的方式交换彼此的NFT或Token，而这些平台也为私下磋商成的交易提供了安全保障，这对于NFT市场来说本是一件好事，但如今有黑客开始通过仿造的 Sudoswap、NFTtrader网站进行诈骗。

Sudoswap、NFTtrader在磋商完成后需要用户发起一笔交易，这一步骤会生成一个订单确认网站，双方确认后交易会通过智能合约自动进行，骗子在一开始会假装与你商议交换哪些 NFT，并先为你展示一个真的网站链接，随后提出对交易进行修改，在交易者放松警惕后，骗子会发送一个诈骗链接，用户点击确认交易后，钱包中对应的NFT便会被发送至骗子的钱包中。

04.骗取助记词

骗子会通过各种手段诱导用户将私钥或助记词发送给自己，比如搭建诈骗网站、假装自己是来帮助用户的管理员等，种种行为均是为了降低用户的警惕，伺机骗走私钥和助记词。

05.创建假的Collection，在项目的Discord公开频道寻求交易

虚假NFT合集是在很多热门项目发售前最容易遇到的，当NFT盲盒正式上线前，骗子会提前在OpenSea等NFT交易平台上传名称类似的NFT合集，并且提前通过官方释放出的信息精美的装修好这个合集，真正的NFT合集在没上线的情况下，用户优先会搜索到名字最为接近的合集，有些骗子为了让用户相信还会制造几笔交易，给当前挂单的假冒NFT发送 Offer出价。

为了节省平台和项目方的版税抽成，社区成员之间会进行私下交易，除了上文所谈到的通过仿造 Sudoswap、NFTtrader网站之外，也有骗子通过在社区频道发送略低于地板价的假NFT合集链接，用户往往会在急于抢购低于地板价NFT时忽略了NFT的真实性从而受骗。

06.假邮件

大部分的NFT平台都会要求用户绑定邮箱，以方便用户能够第一时间知道自己NFT的交易情况，因此邮箱也成为了诈骗泛滥的聚集地，骗子通常会伪装成OpenSea平台的官方账号，以合约地址需要修改或钱包需要重新验证等方式向用户发送钓鱼网站链接。

防骗指南：

01不要乱点各种钓鱼链接

目前Discord和推特以及各种社群信息里，各种虚假网址、钓鱼链接简直数不胜数，假网站看起来更是和真网站一模一样，所以如果想了解或者访问某个NFT的官方主页，建议优先去推特寻找官方账号，通过他们的简介获取链接，同时根据粉丝数量和相关推文进行对比，防止找到的是假官方推特，此外每个合法的Discord服务器也都有一个官方链接，从这里点击进去也相对最安全。

02.不要泄露私钥或助记词

加密钱包不像Web2的电子邮件等账户，私钥与助记词无法修改、找回，一旦泄露就意味着这个钱包将同时归属于你与黑客，你钱包内所有的资产都可以随时被黑客转移，而由于以太坊地址的匿名性，你无法查明黑客到底是谁，损失自然也无法追回，除了不要以任意形式泄露你的私钥给第二者之外，也不要在任何电子设备中留下私钥的记录信息，防止木马病毒和黑客入侵而遭到泄露，尽量把私钥记录在物理纸或笔记本上，或者单独保存在移动硬盘中。

03.仔细检查交易平台提供的通知或者服务

OpenSea等交易平台通常会在你收到报价时，发送一封电子邮件通知你，而某些骗子就会利用这些漏洞，发送虚假购买链接，而这个购买链接中的NFT当然全都是假的，所以检查发件人的邮件地址是一种很好的做法，任何合法的交易平台都不会通过私人邮件地址发送邮件通知。

结语

人们对NFT市场的兴趣日益增加，不法分子也潜伏其中，利用伎俩从收藏者和投资者手中偷取作品和资金，请大家确保自己的宝贵资产、钱包和资金不落入黑客手中。