NFT 詐騙解密: 在區塊鏈走跳一定要知道的防身之道

by 邦卡
文章發布於 最後更新於

本文章節一覽

在區塊鏈、NFT 的世界走跳,基本的反詐騙觀念一定要有,這是個充滿機會的地方,但相對地風險也很高,除了不確定性之外,詐騙更是在這個世界每天都會遇到的家常便飯,本篇文章會針對一些基本的手法做詐騙解密,了解基本的反詐騙知識,可以幫助你在這個世界擁有更高的安全性,切記在做出任何行動之前,一定要先確保安全性,不管前方等著的是甚麼樣的機會,先做好研究,再踏出這一步也不遲。


萬騙不離其宗

詐騙雖然很可惡,但不得不說也是一個很有創意的領域,只是這些人的才能都用錯地方了,因為要成功騙到手,需要偽裝成很像真的,讓受害者上當才有機會騙到手。

歸咎其原理,詐騙者想要的就是受害者的資產,要取得受害者資產的方式可以分成 3 大類。

第 1 類 – 詐騙者主動取得權限

詐騙者會千方百計的想要取得受害者加密資產錢包的「助記詞」,從最單純的直接私訊用問的,再到偽裝成官方人員、甚至是製作假的官網,又或者是安裝木馬、側錄軟體或是螢幕錄影,用各種方式就是要取得受害者手上那唯一可以支配加密資產錢包的「助記詞」。

第 2 類 – 受害者主動交出資產

這種方式是詐騙者設下陷阱,讓受害者自己簽下「惡意合約」交出資產,像是一些看不懂的合約內容,看起來是要鑄造 NFT 但其實是一個轉移資產的指令,又或者是營造各種容易讓人 Fomo 的情境在受害人失去戒心的當下簽下「惡意合約」取得錢包授權。

第 3 類 – 第三方機構被駭客攻破

如果本來是正派的第三方,後來被駭客入侵或攻擊,而你剛好不幸在第三方被攻擊的時候加密資產錢包的資產有給予他們授權或是資產存放在他們那邊,這時候也會同樣遭受損失,這種狀況就跟天災人禍一樣不是我們可以控制或預期的,所能做的就是盡可能地做好分散風險的措施。


檢視 NFT 收藏家可能受騙的路徑

上一段提到的詐騙形式,會用各種華麗的手法包裝,然後散佈在 NFT 收藏家的使用者旅程中。若是不具備有足夠的危機意識與知識就有可能受騙,雖然沒有絕對不會被騙的方式,但我們要盡可能的不斷更新自己的危機意識與知識,讓我們來看看每個 NFT 收藏家的使用者旅程。

第 1 步申請加密貨幣錢包

注意硬體安全、保管好助記詞。

第 2 步到交易所買加密貨幣

選擇正牌交易所、確保交易賣家的正當性。

第 3 步轉帳加密貨幣到加密貨幣錢包

確認轉移的區塊鏈及錢包地址是否正確。

第 4 步瀏覽各種 NFT 網站

小心惡意網站、木馬、病毒及可疑插件。

第 5 步參與 NFT 社群

小心詐騙私訊、詐騙公告。

第 6 步連接錢包與網站互動,進行鑄造、查詢資料等等

小心錢包授權、注意合約內容。


上面的每一個步驟是完整參與整個 NFT 購買及加入社群所必經的流程,每一步都存在著詐騙者在暗中伺機而動。

以下整理分享目前自己踩過坑的切身之痛以及從各大群組蒐集彙整來的關於區塊鏈一定要注意的事項。

如果有其他沒有補充到的內容也歡迎大家提供,我會不斷更新這篇文章,確保大家不會因為不肖份子而白白損失了自己寶貴的資產。


通用反詐騙守則

不要造訪任何可疑的奇怪網站

你的加密貨幣錢包有可能被不明的木馬或惡意程式給監控,最好的方式是使用沒有登入加密貨幣錢包的一般電腦來造訪你不確定安全性的網站。

不要開啟或安裝任何非法或來路不明的程式

有些惡意程式會把外觀偽裝成一般的文件檔案,開啟後電腦有很高的機率會因此中毒,然後加密貨幣資產就不保了。

能夠簡單避免因為這種伎倆而損失加密貨幣資產的方式有三種,
  1. 開啟副檔名顯示功能(資料夾的「檢視」–>「副檔名」)
  2. 瀏覽不明檔案時先上傳到 google drive 進行檢視。
  3. 將日常使用的電腦與操作加密貨幣資產的電腦分開。
你能分辨出真假 PDF 嗎?你能分辨出真假 PDF 嗎?

任何天上掉下來的幸運中獎通知都是假的

不要在未查明的狀況下隨意點擊任何連結。

任何主動送上門的助記詞都是陷阱

我曾經收過以下的 twitter 私訊,大意就是對方直接把助記詞送上門,告訴你裡面有價值超過 6000 美金的穩定幣,但是他們不知道要怎麼換回法定貨幣,要你幫幫忙,事成之後會給你幾百美金當成報酬。

你以為有新手傻傻的把助記詞送上門了嗎?

當你打算要轉一些以太幣做為提取這些穩定幣的手續費的時候,恭喜你白白的把手續費送給詐騙者,他們會把這些手續費馬上轉移走,那些穩定幣你也動不了,只是一個誘餌擺在那邊等著貪心的受害者上門。

任何主動送上門的助記詞都是陷阱任何主動送上門的助記詞都是陷阱

任何官方的人員都不會透過私訊的方式來聯絡你

譬如說來自 Discord 的私訊或是 Twitter 的私訊,甚至是 Twitter 的留言都有很高的機率是假帳號,通常你只要多確認一次,就會發現私訊你的人只是外顯帳號一樣,但是他們的 ID 一定不一樣,請一定要確認 ID,不要只看名稱!

不是有藍勾勾或官方認證就是正版

所有有掛官方認證的東西都要先抱持懷疑態度,以 Twitter 為例,很多 NFT 的詐騙訊息都是由掛著藍勾勾認證帳號所發佈的訊息,這些帳號通常都是被駭客盜取以後再透過改名的方式偽裝成像是某個 NFT 官方的帳號來發佈一些詐騙消息。

小心 Email 詐騙

有些詐騙會仿冒官方寄信給受害者,然後在信件中放入危險的附件或是連結,千萬不要點開檔案或連結。譬如曾經發生過假冒 Opensea 的信件,內容告訴受害者要立即點擊連結採取行動,否則加密貨幣錢包就會被凍結,用這樣聳動的內容讓受害者因為擔心而不自覺的點擊了釣魚網站的連結,千萬不要點擊或下載任何來路不明的連結或檔案。

請認明正版的 Opensea 後綴請認明正版的 Opensea 後綴

小心網路廣告詐騙

很多詐騙的 NFT 項目會透過像是花錢購買 Google、Facebook、Instgram、Twitter 等大平台的廣告來散佈詐騙消息,因為這些廣告只要花錢就可以購買,但卻可以大大的增加這些訊息散佈的廣度,所以即使是看到知名平台的廣告也不要降低戒心。

小心簡訊詐騙

手機的簡訊要求去其他連結做任何操作的也要提高警覺,我就收過像是以下這種訊息,要求你到某個網站啟用某個東西,否則你的小狐狸錢包就要被凍結,這種網站很明顯就是惡意網站,千萬不要上當。

小心詐騙簡訊小心詐騙簡訊

 


Discord 反詐騙守則

Discord 幾乎是所有區塊鏈項目必定會有的一個交流管道,即便在官方社群也不可以盡信所有消息!

點擊所有連結前請提高警覺

近期時不時都有官方 Discord 群組被盜的訊息,請提高你的警覺心,即便是號稱官方人員貼出的資訊,都有可能是駭客盜取官方人員帳號後發出的詐騙訊息,看到所有連結都先以預設是詐騙的情況來思考,多方確認沒有問題以後再點擊網址。

突發事件都是詐騙

在原本預定鑄造的時間之外突然出現的鑄造消息非常有可能是駭客入侵所給的假消息,任何看起來不可思議的好康一定都有問題,請先預設立場是詐騙,再加以小心求證。

官方人員不會沒事私訊你,號稱官方的多半都不是官方

即便他聲稱是官方人員或是 Mod 也一樣,如果是官方人員要私訊你請一定要先在公共頻道跟他本人確認,或是確認他的 Discord ID 是否真的是本人( Discord 每個人都有一組顯示 ID 和帳號 ID,顯示 ID 很簡單就可以偽裝,所以一定要確認那組帳號 ID 是否與本人一致 )。

任何私訊跟你要「助記詞」的人都是騙子!

任何不認識的人私訊要跟你分享好東西的都是騙子!

來路不明的 Discord 群組邀請不要加

即使是有幾萬人的群組也有可能全部都是騙子用機器人或人頭戶做出來的假群組!

各種群組常用的 Discord 機器人帳號可以手動加備註

舉例像是很多群組都會使用的驗證機器人「Collab.Land」,可以在這個機器人的備註手動寫上一些註明,這樣下一次到新的群組要確認這個帳號是不是官方的「Collab.Land」時,只要注意備註的部分有沒有出現你手動填寫的註明,就可以知道是不是同一個 Discord 機器人了,若沒有出現備註就是假的機器人帳號。

NFT 詐騙解密: 在區塊鏈走跳一定要知道的防身之道


Opensea 反詐騙守則

Opensea 是目前 NFT 最大的交易市場,其他的二級交易市場也可以適用類似的規則

小心假貨

在購買任何收藏之前請確保你買的真的是正版的收藏品,因為市場上到處都充斥著「同名」的假收藏品!

請再三確認價格

Opensea 有一個 bug 可以讓頁面顯示的價格與實際購買價格不一致,有些不肖賣家利用價格不一致的 bug 讓購買者白白付出了 10 倍的差價(譬如頁面看售價是 1.1 eth,但實際售價卻是 11 eth),因此在最後要按下 MetaMask 的確認交易前,請務必再次確認價格是你原本打算購買的正確價格。

小心報價陷阱

請特別小心一些默默無名或是交易量特別小的系列,這種詐騙方式是系列中會存在好幾個高價的報價(Offer),然後系列地板價會遠遠低於報價,誘使一般人興起想要轉手賺取中間差價的念頭,進而購買掛地板價的那個 NFT,不過買了以後會發現無法接受報價也無法出售 NFT。

因為該項目的合約只允許特定加密貨幣錢包地址買賣,一般加密貨幣錢包地址只有權買、沒有權賣,所以買到後既無法接受出價也無法掛單販售。

同捆組合包可能會被假貨

在購買 Bundle 同捆組合包之前,請確保所有同捆的商品都是正版的! 因為 Opensea 有個很爛的 bug,就是同捆包裡面只要有一件是正版收藏品,即使其他件物品是假的同名收藏品也可以同捆一起賣!!! 這個超級重要一定要注意,不要以為在正版的收藏裡就沒有假貨!!!同捆包是可以摻假貨的!!!!!!(不確定這個 Bug 是否已經修正)

不要對來路不明的空投 NFT 做隱藏以外的操作

所有空投到你的錢包裡的來認不明的收藏品都不要做轉售或轉移到其他帳號,不要特別做任何處置,你唯一可以做的就是 hide(隱藏他),千萬不要打算出售它,因為在授權賣出的過程中有可能同時也被要求了其他會危害你錢包安全性的授權。

不要盲目跟著鑄造

不要隨便跟隨任何知名人士的帳號去鑄造任何物品,因為他們帳號的鑄造行為有可能是不肖份子用智慧合約操作出來的假象,我之前看到一個 Youtube 追蹤數有 50 萬+粉絲的知名投資者在鑄造一個東西,就興沖沖的跟著跑去鑄造,我找到他鑄造的收藏品連到他們的官網去鑄造的,結果事後發現我鑄造了一個假貨,後來有其他人分享他們自己的帳號也有不明原因會自動的產生一堆他們並沒有操作的鑄造行為。千萬不要盲目的跟著知名人物的鑄造行為去鑄造,請先確定他在鑄造的東西當下是正在發售的才去鑄造,不然極有可能這些鑄造行為是由不肖份子用合約操作出來的假象。


加密貨幣錢包反詐騙守則

加密貨幣錢包是存放區塊鏈資產的必備東西,千萬一定要保護好你的錢包!

保管好「助記詞」

「助記詞」類比傳統銀行的概念就是你的證件和印章,這些東西是絕對不能交到其他人手中的,所以千萬不要給任何人你的「助記詞」!

「助記詞」存放於與網路沒有連結的空間

不建議將「助記詞」的截圖儲存於電腦或手機中,因為只要電腦遭到入侵,取得「助記詞」的人將等於獲得加密貨幣錢包的存取權,可以任意轉移其中所有得加密資產。

沒有任何人有權跟你要「助記詞」

給出「助記詞」就等於是把所有加密資產拱手送人,有任何「號稱是官方」的人透過任何理由跟你索取加密貨幣錢包「助記詞」,那他 100% 就是來詐騙的,千萬不要給!

不要使用工作電腦登入你的加密貨幣錢包

登入的加密貨幣錢包是可以找到「助記詞」的,因此如果你的電腦處於公共場合或工作場合,小心任何有心人事趁你不在電腦前時趁機打開「助記詞」的頁面。另外在遠端連線、或是分享電腦畫面時也要特別小心,你的畫面如果有任何機會顯示「助記詞」的畫面,正在看著你畫面的其他人也會同時獲得你的「助記詞」。

注意簽署的合約內容

千萬不要簽署任何你看起來覺得很怪的交易內容!

延伸閱讀: 區塊鏈的互動合約類型

使用冷錢包提升安全性

如果你的加密貨幣資產的總價值超過一個冷錢包的價格,換言之就是超過新台幣 6000 元,那會強烈建議你購買冷錢包來加強加密資產安全性,一般普遍推薦的冷錢包品牌為 Ledger 以及 Trezor 這兩個有口碑的老字號,台灣廠商也有像是 CoolWallet 這樣的品牌(高級的冷錢包價格會落在台幣 6000 元以內,這個價格不包含運價及海關費用)

延伸閱讀: 甚麼是加密貨幣錢包,熱錢包、冷錢包又有甚麼差異?

收到不明來源的加密貨幣空投

如果加密貨幣錢包突然收到來路不明的加密貨幣空投,小心很有可能是釣魚型的詐騙,這些來路不明的加密貨幣通常都會有以下特徵:

  1. 顯示的帳面價值會讓受害者心動到想要嘗試換成其他加密貨幣。
  2. 無法在主流的交易所進行交易。

這些都是為了誘騙貪心的受害者前往詐騙者設下的陷阱,讓受害者以為簽下了某些合約以後就可以將這些巨額加密貨幣換成其他主流的加密貨幣,殊不知在簽下這些合約以後反倒授權了詐騙者能夠無限制的移轉自己加密貨幣錢包的其他資產。

因此收到這些來路不名的加密貨幣最好的方法,就是無視它們。

與原廠購買第一手的冷錢包

如果要購買冷錢包請務必跟原廠購買,不要貪小便宜買二手貨或代購,確保冷錢包在使用前沒有被其他人使用過,避免不必要的額外風險。

做好安全分級

依照用途來區分加密貨幣錢包的安全性,不存放高價格的加密資產在高風險的錢包。

延伸閱讀: 加密貨幣錢包管理及安全分級的重要性及方法

只拿拋棄式熱錢包來做高風險操作

不拿擁有高價值加密資產的錢包來連結任何你不信任或有所懷疑的網址,擁有高價值加密資產的錢包只連接你信任的網站。

使用完的 DAPP 服務就應該「斷開」

所有的錢包在你完成任務以後,應該立即在加密資產錢包的設定中「斷開」與任何 DAPP 的連結,雖然斷開這個連結不會取消已授權的合約,但可以盡可能的保持自己錢包的隱私性。

有疑慮的合約就該「撤銷」

如果不小心用加密貨幣錢包簽署到可疑的合約或是懷疑某個合約的安全性,就應該儘快的「撤銷」這個合約授權。

延伸閱讀: 如何撤銷加密貨幣錢包的合約授權


希望大家都能在區塊鏈的世界保持交易安全,不要被這些投機取巧的邪惡份子騙走自己辛苦累積的資產。

You may also like

點擊以下標題可以直接跳轉到該段落

可跳轉目錄