Минулий рік був безпрецедентний для NFT. Від колекцій блакитних фішок до приєднуються знаменитості через величезний наплив членів спільноти, простір пережив стрімке зростання порівняно з 12 місяцями тому.
Хоча це принесло ліквідність у простір, можливості та величезний потенціал для зростання, це також привернуло потенційних шахраїв. Через децентралізований характер світу NFT багато з них стали вразливими до ряду шахрайств. І в багатьох випадках ніхто мало що може зробити, щоб протистояти їм.
Шахраї стають все більш досвідченими, і кожен день хтось твітує про них втрачаючи найцінніше цифрові дорогоцінні камені. Колекціонери повинні бути обережнішими, ніж будь-коли. Ось як.
Основні цілі
Простір NFT все ще перебуває на стадії експерименту; багато хто порівнював його з Диким Заходом. Немає загальної підтримки клієнтів, тому ви не можете повідомити про збитки «владі». І все ж у 2021 році космос все одно приніс мільярди доларів. Саме це робить його ідеальним розсадником для шахраїв.
Так звані «блакитні фішки» NFT стають найбільшою ціллю, можливо, не частіше, ніж Bored Ape Yacht Club, мінімальна ціна якого зараз становить 96 ETH. Це означає, що шахрай може заробити сотні тисяч доларів одним клацанням миші. У просторі, побудованому на сильному почутті спільності та позитиву, анонімним шахраям все ще надзвичайно легко проникнути в розмови та маніпулювати власниками. АлНасправді потрібна лише одна миттєва помилка в судженні.
Блокчейн і NFT забезпечили автономію, але це також означає, що ми несемо відповідальність за наші активи—жоден банк не стежить за ними за вас. Розуміння різних типів шахрайства допоможе захистити ваші NFT.
Види шахрайства
Фальшиві сторінки монетного двору
Часто під час довгоочікуваного випадання NFT з’являється кілька сторінок OpenSea, що може ускладнити перевірку законної колекції, особливо якщо колекція не перевірена. Через просочування FOMO та відлік часу багато колекціонерів не можуть зробити додатковий крок автентифікації, звідки карбуються активи, і вони карбують неправильні NFT.
Незабаром після цього нелегітимну колекцію видаляють з OpenSea разом із цим NFT, але гроші покупця все одно залишаються у шахраїв. Нещодавно це сталося з Punks Comic, де багатьох обманом змусили карбувати з підробленої сторінки OpenSea, втративши сотні доларів.
Кроки вжити
Ніколи не натискайте посилання, які не можна перевірити.
Двічі перевірте посилання на домен-шахрайський веб-сайт часто можна відрізнити лише за одним різним символом.
Підтвердьте, що ви карбуєте підтверджене посилання, спершу перейшовши до офіційної колекції Twitter або Discord.
Підроблені аеродропи
Завдяки наявності NFT у блокчейні адреса вашого гаманця є загальнодоступною для всіх, як і кожен ваш крок. Це означає, що будь-хто може взаємодіяти з вашим обліковим записом, і вони можуть надсилайте NFT у ваш гаманець без запиту-а саме an викидання десанту.
Шахраї часто надсилають NFT у ваш гаманець, щоб змусити вас взаємодіяти з ними та спробувати отримати ваші особисті дані, тому краще не взаємодіяти з новими NFT, якщо ви не підтвердили їх походження.
Уособлення
Видача себе за іншу особу є, мабуть, найбільш зловмисним шахрайством, і воно може передбачати різні методи.
Нещодавно я звернув увагу на обліковий запис Twitter було моє зображення профілю, копія моєї біографії, написав кілька твітів, ідентичних моїм, і зібрав 5,000 підписників. Єдина різниця між моїм обліковим записом і підробленим полягала в тому, що ім’я користувача підробленого містило додаткове s: NFTs1nsight замість NFT1nsight. Цей обліковий запис міг легко обдурити когось, хто не бачив мого справжнього облікового запису.
Я не знаю, як обліковий запис використовувався, або якби DM були надіслані потенційним жертвам шахраїв, але я можу лише припустіть, що його було створено зловмисно. Подібне шахрайство стає все більш поширеним, деякі фальшиві облікові записи додають тисячі підписників, щоб виглядати більш справжніми.
Кроки вжити
Наявність великої кількості підписників не означає, що обліковий запис справжній.
Завжди перевіряйте маркери Twitter і хто стежить за обліковим записом.
Якщо ви підтвердите, що це фальшивий обліковий запис, повідомте про це в Twitter.
Існують також імітації брендів, коли шахраї так само створюють профіль, щоб запропонувати підтримку жертвам хакерів, часто в Discord або Twitter.
Фальшиві посилання
Шахраї надсилатимуть підроблені пропозиції OpenSea на електронну пошту людей, просячи одержувачів натиснути кнопку «переглянути». Ці посилання часто приведуть вас на підроблену сторінку із запитом про ваш гаманець і вихідну фразу. (Ніколи не надсилайте комусь свою початкову фразу.) Подібні шахрайства поширені на Discord. Коли шахрай отримає вашу інформацію, він переведе всі ваші активи в інший гаманець і продасть їх— І немає можливості їх зупинити. Ви опинитеся в гонці, щоб врятувати якомога більше NFT.
Багато шахраїв продають NFT за низькими цінами лише для того, щоб їх розвантажити, а підозрілі покупці можуть просто зачерпнути їх замість того, щоб запитати, як продавець придбав їх. Іноді зусилля громади можуть допомогти цьому перешкодити, але не завжди.
Дженкінс-самозванець: приклад
Зовсім недавно сервер Discord відомого проекту NFT Дженкінс, камердинер був зламаний хакерами після того, як модератор поділився своїм екраном, і вони змогли заблокувати Discord, заборонивши модифікації та самих засновників. Хакери видавали себе за Дженкінса, що потім дозволило їм скинути підроблене посилання монетного двору на стелс-дроп, який багато учасників вважали законним. Мало того, що посилання було майже ідентичним до посилання на оригінальному сайті, хакери також створили сцену для розмов про монетний двір, забанивши всіх, хто сумнівався в достовірності того, що відбувається.
На жаль, багато хто попався на це, і спільнота була викрадена з кількох десятків ETH.
Головного модератора обдурили шахраї через повідомлення Discord DM, які звинуватили його в тому, що він сам є шахраєм. У момент паніки та розгубленості він намагався довести свою невинність, поділившись своїми повідомленнями. Він поділився своїм екраном, що дозволило шахраям зламати його Discord і взяти під контроль сервер.
Друга проблема полягала в тому, що Дженкінс не мав повного права власності на сервер. Через це його забанили, що було б неможливо, якби він був власником сервера. Відтоді дозволи та право власності було передано, а контроль було відновлено, що має допомогти запобігти шахрайству в майбутньому.
Команда Дженкінса рішуче відреагувала на злом, перезавантаживши Discord зверху вниз, запровадивши цілодобову модерацію через ботів, провівши аудит і виплативши компенсацію всім, хто втратив ETH під час афери. Дженкінс також роздав одну NFT від Bored Ape Kennel Club, щоб вибачитися за прикрий інцидент.
Невеликий плюс полягає в тому, що хак означає, що тепер вони краще підготовлені для боротьби з майбутніми шахраями. (Докладніше про хронологію подій і повну ситуацію ви можете прочитати тут.)
Існує хак/шахрайство (обходить 2fa), яке шахраї використовують для компрометації облікових записів Discord. Якщо ви засновник/адміністратор проекту, це ВАЖЛИВО.
Переконайтеся, що у вас є підтверджені посилання, перш ніж натискати їх-ніколи не натискайте на випадкові або непрацюючі посилання, надіслані невідомими джерелами.
Ніколи не показуйте свій екран.
Перш ніж щось карбувати, обов’язково перевірте адресу контракту, яка має вказувати, де було викарбувано NFT. Якщо це було перевірено на OpenSea, воно повинно бути законним. Якщо це виглядає занадто добре, щоб бути правдою, то, ймовірно, це так.
Ніколи ні з ким не діліться фразою відновлення.
Тримайте початкову фразу подалі від телефону та комп’ютера— зберігати в автономному режимі («холодне зберігання»), з кількома копіями в безпечних місцях.
Завжди підтверджуйте, що ви карбуєте на перевіреному веб-сайті.
Для багатьох простіше та безпечніше повністю вимкнути DM Discord, оскільки ними зловживають боти та шахраї.
Додайте в закладки перевірені сайти, як-от OpenSea—це допомагає запобігти потраплянню на фейкові сторінки.
Якщо вам потрібна допомога, вам ніколи не надішлють DM першим— звертайтеся за допомогою до офіційних сайтів, а не до соціальних мереж.
Ставте запитання довіреним друзям, звертайтеся до офіційних команд, щоб отримати відповіді, і не бійтеся задавати питання, які надають пріоритет вашій безпеці.
Використовуйте двофакторну аутентифікацію, додатковий рівень безпеки.
Використовуйте надійні та унікальні паролі— це мудро використовувати інший пароль щоразу, коли ви створюєте обліковий запис.
Використовуйте апаратний гаманець, наприклад Ledger або Trezor—це холодні гаманці офлайн, тож ніхто, крім вас, не зможе отримати до нього доступ за допомогою вашого приватного ключа.
DYOR. Перш ніж робити щось у світі NFT, обов’язково вивчіть колекцію, продавця, договір, посилання та інші деталі.
Про захист ваших NFT 🔒
Цього тижня я розглянув 5 різних випадків скомпрометації гаманців і крадіжки NFT у їхніх власників.
Мене розриває серце щоразу, коли це трапляється, але шаблони завжди однакові.
1/ Нижче наведено кілька правил, за якими слід жити, щоб залишатися в безпеці 🧵👇