Web3 中的网络安全：保护您自己（和您的猿 JPEG）

即使 Web3 布道者长期以来一直在吹捧区块链的原生安全功能，流入该行业的资金洪流使其成为黑客的诱人前景， 骗子 和小偷。

当不良行为者成功破坏 Web3 网络安全时，通常是因为用户忽视了人类贪婪、FOMO 和无知等最常见的威胁，而不是因为技术缺陷。

许多骗局承诺获得丰厚的回报、投资或独家特权； FTC 称这些赚钱机会和投资 诈骗.

诈骗中的大笔资金

根据2022年XNUMX月 报告 美国联邦贸易委员会的调查显示，自 1 年以来，超过 2021 亿美元的加密货币被盗。黑客的狩猎场是人们在线聚集的地方。

FTC 表示：“自 2021 年以来，有近一半报告因诈骗而丢失加密货币的人表示，这是从社交媒体平台上的广告、帖子或消息开始的。”

尽管欺诈行为听起来好得令人难以置信，但鉴于加密市场的剧烈波动，潜在的受害者可能会暂停怀疑； 人们不想错过下一件大事。

针对 NFT 的攻击者

与加密货币一起， NFT，或不可替代的代币，已成为 日益流行 诈骗者的目标； 根据 Web3 网络安全公司的说法 TRM实验室在 2022 年 22 月之后的两个月内，NFT 社区因诈骗和网络钓鱼攻击损失了大约 XNUMX 万美元。

“蓝筹”系列，例如 无聊的猿游艇俱乐部 （BAYC）是一个特别珍贵的目标。 2022年XNUMX月，BAYC Instagram账号被 至少从2010年开始， 诈骗者将受害者转移到一个网站，该网站耗尽了他们的以太坊钱包中的加密货币和 NFT。 大约 91 个 NFT 被盗，总价值超过 2.8 万美元。 几个月后，一个 不和谐利用 看到价值 200 ETH 的 NFT 从用户那里被盗。

备受瞩目的 BAYC 持有者也成为诈骗的受害者。 17月XNUMX日，演员兼制片人 塞思格林 发推文说他是网络钓鱼诈骗的受害者，导致四个 NFT 被盗，包括 Bored Ape #8398。 除了突出网络钓鱼攻击带来的威胁外，它还可能破坏由 Green 计划的以 NFT 为主题的电视/流媒体节目“White Horse Tavern”。 BAYC NFT 包括将 NFT 用于商业目的的许可权，例如 无聊又饿 加利福尼亚长滩的快餐店。

在 9 月 XNUMX 日的 Twitter Spaces 会议期间， 绿色 表示他在向一个在被盗后购买了 NFT 的人支付了 165 ETH（当时超过 295,000 美元）后找回了被盗的 JPEG。

“网络钓鱼仍然是第一个攻击媒介，”Web3 网络安全公司的安全工程师 Luis Lubeck， 哈尔伯恩告诉 解码.

Lubeck 说，用户应该注意要求钱包凭证、克隆链接和虚假项目的虚假网站。

根据 Lubeck 的说法，网络钓鱼诈骗可能始于社会工程，告诉用户早期的代币发布，或者他们将 100 倍的钱，低 API，或者他们的帐户已被破坏并需要更改密码。 这些消息通常会在有限的时间内采取行动，进一步加剧了用户对错过的恐惧，也称为 FOMO。

在格林的案例中，网络钓鱼攻击来自克隆链接。

克隆网络钓鱼是一种攻击，诈骗者获取网站、电子邮件，甚至是一个简单的链接，并创建一个看起来合法的近乎完美的副本。 格林认为他是在使用一个被证明是网络钓鱼网站的“GutterCat”克隆。

当格林将他的钱包连接到网络钓鱼网站并签署交易以铸造 NFT 时，他让黑客可以访问他的私钥，进而访问他的无聊猿。

网络攻击的类型

安全漏洞可能会影响公司和个人。 虽然不是完整列表，但针对 Web3 的网络攻击通常分为以下几类：

• ? 網絡釣魚: 作为最古老但最常见的网络攻击形式之一，网络钓鱼攻击通常以电子邮件的形式出现，包括在社交媒体上发送看似来自信誉良好的来源的文本和消息等欺诈性通信。 这个 网络犯罪 还可以采用受损或恶意编码网站的形式，一旦连接加密钱包，该网站就可以从附加的基于浏览器的钱包中提取加密货币或 NFT。
• ‍☠️ 恶意软件: 恶意软件的缩写，这个总称涵盖了对系统有害的任何程序或代码。 恶意软件可以通过网络钓鱼电子邮件、文本和消息进入系统。
• ? 受损网站: 这些合法网站被犯罪分子劫持并用于存储恶意软件，毫无戒心的用户一旦点击链接、图像或文件就会下载这些恶意软件。
• ? 网址欺骗: 取消链接受感染的网站； 欺骗网站是恶意网站，是合法网站的克隆。 这些网站也称为 URL 网络钓鱼，可以收集用户名、密码、信用卡、加密货币和其他个人信息。
• ? 假浏览器扩展: 顾名思义，这些漏洞利用伪造的浏览器扩展程序来欺骗加密用户将他们的凭据或密钥输入到扩展程序中，从而使网络犯罪分子可以访问数据。

这些攻击通常旨在访问、窃取和破坏敏感信息，或者在格林的案例中，是 Bored Ape NFT。

您可以采取什么措施保护自己？

Lubeck 说，保护自己免受网络钓鱼的最佳方法是永远不要回复来自未知人、公司或帐户的电子邮件、SMS 文本、Telegram、Discord 或 WhatsApp 消息。 “我会走得更远，”吕贝克补充道。 “如果用户没有开始通信，切勿输入凭据或个人信息。”

Lubeck 建议在使用公共或共享 WiFi 或网络时不要输入您的凭据或个人信息。 此外，吕贝克告诉 解码 人们不应该因为使用特定的操作系统或手机类型而产生错误的安全感。

“当我们谈论这些类型的诈骗时：网络钓鱼、网页冒充，无论您使用的是 iPhone、Linux、Mac、iOS、Windows 还是 Chromebook，都没有关系，”他说。 “为设备命名； 问题是网站，而不是你的设备。”

确保您的加密货币和 NFT 安全

让我们看一个更“Web3”的行动计划。

如果可能，使用硬件或气隙 钱包 存储数字资产。 这些设备，有时被称为“冷存储”，会从互联网上删除你的加密货币，直到你准备好使用它。 虽然使用基于浏览器的钱包很常见且方便，例如 MetaMask，请记住，任何连接到互联网的东西都有可能被黑客入侵。

如果您使用手机、浏览器或桌面钱包（也称为热钱包），请从 Google Play Store、Apple 的 App Store 或经过验证的网站等官方平台下载。 切勿从通过文本或电子邮件发送的链接下载。 即使恶意应用程序可以进入官方商店，它也比使用链接更安全。

完成交易后，断开钱包与网站的连接。

请务必将您的私钥、助记词和密码保密。 如果您被要求分享此信息以参与投资或铸币，这是一个骗局。

只投资你了解的项目。 如果不清楚该计划是如何运作的，请停下来做更多的研究。

忽略高压策略和紧迫的期限。 通常，诈骗者会利用它来尝试调用 FOMO 并让潜在的受害者不去思考或研究他们被告知的内容。

最后但并非最不重要的一点是，如果听起来好得令人难以置信，那可能是一个骗局。