ผู้เริ่มต้นต้องอ่าน | คู่มือป้องกันการโจรกรรม NFT: วิธีปกป้องทรัพย์สิน?


บทความนี้เขียนขึ้นโดย NFTGo ซึ่งเป็นแพลตฟอร์มการวิเคราะห์ข้อมูล NFT
บทความนี้เขียนขึ้นโดย NFTGo ซึ่งเป็นแพลตฟอร์มการวิเคราะห์ข้อมูล NFT

ตารางที่รวบรวมโดยบริษัทรักษาความปลอดภัยบล็อกเชนและวิเคราะห์ข้อมูล PeckShield แสดงให้เห็นว่าในการโจมตีแบบฟิชชิ่ง 254 NFT ที่มีมูลค่ารวมประมาณ 1.7 ล้านดอลลาร์ถูกขโมยไป NFT BAYC#3738 ของ Jay Chou ถูกขโมยในวัน April Fool's Day ซึ่งเป็นเหตุการณ์ปกติ กรณีที่เว็บไซต์ฟิชชิ่งชักนำให้มิ้นต์ได้รับสิทธิ์ในการดำเนินการ NFT ของผู้ใช้ โครงการชื่อ MoonMan NFT ซึ่งขโมย NFT เกือบ 400 รายการภายใต้ชื่อ mint...


โดยทั่วไปแล้ว แฮกเกอร์จะล็อคนักสะสมผ่าน Discord และ Telegram และขโมยทรัพย์สิน NFT ของผู้ใช้โดยการกระตุ้นมิ้นต์ การโจมตีแบบฟิชชิ่ง ฯลฯ ด้วยการพัฒนาทางเทคโนโลยีในปัจจุบัน นักลงทุนและนักสะสม NFT จำเป็นจะต้องติดตามแนวทางล่าสุดในการปกป้องทรัพย์สินของตน

 

ข้อมูลพื้นฐานเกี่ยวกับการจัดเก็บข้อมูลที่ปลอดภัยของ NFT

กรุณาเก็บไว้ในใจ:


NFT ของคุณไม่ได้จัดเก็บไว้ในคอมพิวเตอร์หรืออุปกรณ์พกพา แต่อยู่ในพื้นที่กระจายอำนาจ เช่น IPFS หรือ Arweave

ด้วยคีย์ส่วนตัว คุณจะสามารถเข้าถึงบล็อคเชน/ทรัพย์สินของคุณได้อย่างเต็มที่

รูปแบบการแยกคีย์ส่วนตัวของ Shamir สามารถให้การป้องกันรองสำหรับตัวช่วยจำ


1. NFT ของคุณเก็บไว้ที่ไหน?

NFTs จะไม่ถูกเก็บไว้ในกระเป๋าเงินเย็น ฝั่ง PC หรือกระเป๋าเงินร้อน NFT เป็นโทเค็นที่อยู่ในบล็อกเชน Ethereum และโฮสต์โดยโหนดเครือข่ายมากกว่า 2,400 เครือข่ายทั่วโลก


NFTs ได้รับการสนับสนุนโดยระบบกระจายอำนาจอย่างสมบูรณ์ ซึ่งช่วยให้มั่นใจว่าการทำงานปกติของระบบนิเวศ NFT และสามารถตรวจสอบธุรกรรมออนไลน์ได้เช่นกัน เมื่อคุณทำธุรกรรม NFT สิ่งที่เกิดขึ้นจริงคือฐานข้อมูลทำการเปลี่ยนแปลงที่อยู่ของ NFT นั้น


2. รูปภาพ GIF และเพลงของคุณอยู่ที่ไหน

URI (Uniform Resource Identifier) ​​​​ของ NFT ทำเครื่องหมายตำแหน่งของรูปภาพ โดยทั่วไปแล้ว NFT จะอยู่ในพื้นที่จัดเก็บแบบกระจายอำนาจ เช่น IPFS หรือ Arweave ใน Web2 ยังมีพื้นที่จัดเก็บแบบรวมศูนย์ เช่น AWS


3. กระเป๋าเงิน

กระเป๋าเงินคือชิ้นส่วนของซอฟต์แวร์หรืออุปกรณ์ที่เก็บคีย์ส่วนตัวและเปิดใช้งานธุรกรรม กระเป๋าเงินมีสองประเภท: กระเป๋าเงินร้อน (กระเป๋าซอฟต์แวร์) และกระเป๋าเงินเย็น (กระเป๋าฮาร์ดแวร์)


Hot wallet (กระเป๋าซอฟต์แวร์): ซอฟต์แวร์ที่ทำงานบนอุปกรณ์เอนกประสงค์ สามารถเชื่อมต่อกับ Web3 และสามารถรับทรัพย์สินได้ด้วยการคลิกเมาส์


Cold wallet (กระเป๋าฮาร์ดแวร์): ใช้สำหรับอุปกรณ์ฮาร์ดแวร์โดยเฉพาะ สามารถเชื่อมต่อกับ Web3 และรับทรัพย์สินได้ ความแตกต่างหลักระหว่างมันกับกระเป๋าเงินแบบร้อนคือ ตัวช่วยจำของกระเป๋าเงินเย็นไม่เคยเชื่อมต่อกับอินเทอร์เน็ต และต้องได้รับการอนุมัติด้วยวิธีการทางกายภาพ (เช่น หน้าจอสัมผัส) เพื่อทำธุรกรรม


หลังจากเลือกกระเป๋าเงินที่ถูกต้องแล้ว คุณต้องเข้าใจคุณสมบัติของกระเป๋า:


ขั้นแรก กระเป๋าเงินแบบร้อน/เย็นจะขอให้คุณสร้างรหัสผ่านซึ่งเป็นเอกลักษณ์เฉพาะในอุปกรณ์เฉพาะ สามารถเข้าถึงกระเป๋าเงินได้ก็ต่อเมื่อทราบรหัสผ่านเท่านั้น


คุณสามารถแบ่งปันที่อยู่สาธารณะของกระเป๋าเงินของคุณได้อย่างอิสระ ซึ่งไม่ต่างจากที่อยู่อีเมลของ Web3 ใครก็ตามที่ทราบที่อยู่ของคุณสามารถส่ง NFT ให้คุณได้


สิ่งนี้ได้ก่อให้เกิดเวกเตอร์ใหม่ของการโจมตีการแฮ็ก แฮกเกอร์ส่ง NFT ให้กับผู้คน และเมื่อผู้คนโต้ตอบกับ NFT นั้น (เช่น ส่งไปยังกระเป๋าเงินอื่น หรือขายมัน) แฮ็กเกอร์จะขโมยทรัพย์สินในกระเป๋าเงินของบุคคลนั้น โปรดจำไว้ว่า อย่าคลิก NFT ที่ไม่คุ้นเคย!


นอกจากนี้ ผู้คนยังใช้ลายเซ็นปลอมหรือการอนุมัติเพื่อรับที่อยู่ IP ของคุณ


อีเมลฟิชชิ่งก็เป็นสแกมทั่วไปเช่นกัน จุดประสงค์ของอีเมลคือเพื่อหลอกล่อให้คุณเชื่อมต่อกระเป๋าเงินของคุณกับเว็บไซต์ปลอม เพื่อให้แฮกเกอร์สามารถขโมยทรัพย์สินของคุณได้ ดังนั้น อย่าคลิกลิงก์ที่ไม่คุ้นเคย!


อย่าลืมตรวจสอบชื่อเว็บไซต์เป็นครั้งคราว ปัจจุบันวิธีการแฮ็คค่อนข้างง่ายโดยเริ่มจากที่อยู่สาธารณะและอีเมลเท่านั้น

คุณต้องเก็บคีย์ส่วนตัวซึ่งเป็นรหัสผ่านเพื่อเข้าถึงที่อยู่สาธารณะของคุณ หน้าที่ของคีย์ส่วนตัวคือ:


(1) ย้าย NFT ของคุณออกจากที่อยู่

(2) ลงนามในสัญญาเพื่อพิสูจน์ว่าคุณเป็นเจ้าของรหัสส่วนตัวสำหรับที่อยู่นั้น (คล้ายกับการยืนยันว่าคุณเป็นเจ้าของที่อยู่สาธารณะ)


ความแตกต่างที่ใหญ่ที่สุดระหว่างที่อยู่สาธารณะและคีย์ส่วนตัวคือ คุณไม่สามารถเปิดเผยคีย์ส่วนตัวของคุณให้ใครเห็นได้ มิฉะนั้น พวกเขาสามารถนำเข้าคีย์ส่วนตัวของคุณไปยังกระเป๋าเงินของพวกเขาและขโมยทรัพย์สินทั้งหมดของคุณ


หลังจากชี้แจงแนวคิดของคีย์ส่วนตัวและที่อยู่สาธารณะแล้ว มาดูความจำกันอีกครั้ง


ตัวช่วยความจำมักจะเป็นคำ 12, 18 หรือ 24 คำและใช้เพื่อดึงกระเป๋าเงินออกมา หากคุณทำคีย์ส่วนตัวหาย คุณสามารถสร้างใหม่ได้โดยใช้ตัวช่วยจำ เช่นเดียวกับคีย์ส่วนตัว บุคคลที่สองจะไม่สามารถรู้จักตัวช่วยจำ และไม่สามารถเก็บไว้ในอุปกรณ์จัดเก็บข้อมูลอิเล็กทรอนิกส์หรือผู้ให้บริการ (เช่น google ไดรฟ์, icloud, อัลบั้มรูปภาพ, โน้ตในโทรศัพท์และสำเนา)


วิธีที่เหมาะสมที่สุดคือการจัดเก็บทางกายภาพ เช่น การเขียนบนกระดาษ บางคนยังใช้เหล็กเพื่อเก็บความจำเพราะทนไฟได้มากกว่า วิธีอื่นๆ เช่น รหัสผ่าน ยังช่วยเพิ่มความปลอดภัยของกระเป๋าเงินได้อีกด้วย รหัสผ่านคือชุดของสัญลักษณ์หรือคำที่สามารถใช้ร่วมกับตัวช่วยจำเพื่อสร้างกระเป๋าเงินใหม่ตามกระเป๋าเงินเดิม ตัวอย่างเช่น หากต้องการสร้างกระเป๋าเงินใหม่ตามกระเป๋าเงินเดิม ให้ป้อน:


ช่วยในการจำ + "NFTGo"

Mnemonic + หมายเลขใด ๆ

Mnemonic + ตัวอักษรใด ๆ

Mnemonic + วลีใด ๆ

วิธีใดวิธีหนึ่งข้างต้นสามารถสร้างกระเป๋าสตางค์ใหม่ด้วยที่อยู่สาธารณะของคีย์ส่วนตัวที่แตกต่างกันได้ แต่ฟังก์ชันรหัสผ่านใช้ได้เฉพาะกับกระเป๋าสตางค์เย็นเท่านั้น


4. เพิ่มการป้องกันชั้นที่สอง

การซื้อกระเป๋าเงินแบบเย็นเป็นวิธีที่มีประสิทธิภาพในการเพิ่มความปลอดภัย Trezor, Ledger และ Keystone เป็นกระเป๋าเงินฮาร์ดแวร์ที่ได้รับความนิยมมากที่สุด แต่แต่ละกระเป๋าก็มีข้อดีและข้อเสีย


กระเป๋าเงินเย็นแต่ละใบมีลักษณะเฉพาะของตัวเอง ตัวอย่างเช่น Keystone ใช้รหัส QR สำหรับการส่งข้อมูลซึ่งช่วยหลีกเลี่ยงความเสี่ยงที่ไวรัสโทรจันจะถูกส่งไปยังกระเป๋าเงินของฮาร์ดแวร์ผ่านอินเทอร์เฟซ USB หรือ Bluetooth นอกจากนี้ยังเป็นกระเป๋าเงินของฮาร์ดแวร์เครื่องแรกที่รองรับ ENS (Ethereum Name Service) โดยไม่จำเป็นต้องใช้ เพื่อตรวจสอบที่อยู่เดิม ปัญหา นอกจากนี้ ผู้ใช้ยังปรับแต่งหน้าจอขนาด 4 นิ้วด้วย NFT ได้อีกด้วย


ลองใช้ Keystone เป็นตัวอย่างในการตั้งค่า


(1) ซื้อ Keystone wallet จากเว็บไซต์ทางการ

(2) ติดตั้งชุดคีย์สโตน

(3) เริ่มคีย์สโตน

(4) ตั้งค่า PIN กระเป๋าสตางค์ของคุณ - รหัสผ่านเฉพาะสำหรับอุปกรณ์นี้

(5) หากองค์กรใช้ ขอแนะนำให้ใช้ Shamir private key splits schema แบ่งตัวช่วยจำ 2 กลุ่มออกเป็น 3 กลุ่ม หรือแบ่ง 3 กลุ่มของ mnemonics ออกเป็น 5 กลุ่ม คุณสามารถบันทึกได้ 3 กลุ่มนี้ ของกุญแจส่วนตัวในที่ต่างๆ . หากคุณมีข้อมูลสำรอง Shamir 3 รายการจากทั้งหมด 5 รายการและสูญหาย 2 รายการ คุณยังคงกู้คืนกระเป๋าเงินได้โดยใช้ข้อมูลสำรอง 3 รายการที่เหลือ


มาดูการโอน BAYC เป็นตัวอย่างเพื่อดูการใช้กระเป๋าฮาร์ดแวร์ NFT โดยเฉพาะ ใน Keystone ผู้ใช้สามารถใช้ไฟล์ข้อมูล ABI ที่อัปโหลดในการ์ด microSD เพื่อยืนยันความถูกต้องของที่อยู่ได้อย่างรวดเร็ว "Board Ape Yacht club" จะปรากฏข้างที่อยู่เป็นแบบอักษรสีน้ำเงิน และยังต้องยืนยันว่าธุรกรรมเกี่ยวข้องกับสิ่งใด พฤติกรรมที่เป็นอันตราย เพื่อไม่ให้ลงนาม NFT กับผู้หลอกลวงหรือแฮ็กเกอร์


 

วิธีหลีกเลี่ยงการหลอกลวง NFT

1. อย่าลืมดาวน์โหลดแอป Web3 หรือกระเป๋าเงินจากเว็บไซต์ทางการ

สาเหตุหลักของการแฮ็ก crypto/NFT คือการเข้าชมเว็บไซต์ที่ไม่เป็นทางการของผู้ใช้ ไซต์เหล่านี้ส่วนใหญ่สร้างขึ้นสำหรับการหลอกลวง และมีลักษณะคล้ายกับไซต์ทางการมาก อย่าดาวน์โหลดแอป Web3 จาก Google Play เนื่องจากอาจไม่ได้มาจากแหล่งที่มาดั้งเดิม คุณสามารถอ้างอิงถึงคำแนะนำต่อไปนี้เพื่อระบุเว็บไซต์อย่างเป็นทางการ:


(1) ให้ความสนใจกับแถบ URL คลิกเฉพาะ URL ที่ขึ้นต้นด้วย https:// (อย่าคลิก http://!) ตัว "s" ย่อมาจาก "secure" ซึ่งหมายความว่าข้อมูลในไซต์ได้รับการเข้ารหัสและส่ง ซึ่งสามารถป้องกันแฮ็กเกอร์ได้ การโจมตี


(2) ตรวจสอบชื่อโดเมน กลวิธีโปรดของแฮ็กเกอร์คือการสร้างไซต์น็อคเอาท์ซึ่งมีชื่อโดเมนคล้ายกับไซต์ดั้งเดิมมาก ซึ่งการดับเบิลคลิกเท่านั้นที่จะบอกความแตกต่างได้ ตัวอย่างเช่น เว็บไซต์เวอร์ชันน็อคออฟ https://wobble.com อาจเป็น https://w0oble.com อย่าลืมดับเบิลคลิกตัวอักษรทั้งหมดของชื่อโดเมนเป็นครั้งคราว


(3) ระวังการสะกดผิด เว็บไซต์ปลอมส่วนใหญ่สร้างขึ้นอย่างคร่าวๆ โดยมีข้อผิดพลาดในการสะกด การออกเสียง การใช้อักษรตัวพิมพ์ใหญ่ และไวยากรณ์


2. เรียกดูเฉพาะช่องทางการ ทวิตเตอร์อย่างเป็นทางการ และลิงก์อย่างเป็นทางการ

ดังที่ได้กล่าวไว้ก่อนหน้านี้ คุณสามารถไว้วางใจได้เฉพาะเว็บไซต์ทางการ บัญชี Twitter และ Discord คุณสามารถดูคำแนะนำต่อไปนี้เพื่อตรวจสอบ:


(1) ตรวจสอบกิจกรรมบัญชี

(2) ตรวจสอบจำนวนผู้ติดตาม

(3) ตรวจสอบประวัติบัญชี

(4) ตรวจสอบความคิดเห็นและการมีส่วนร่วม


3. อย่าแชร์ข้อมูลรับรองการเข้าสู่ระบบหรือคีย์ส่วนตัวกับใครเลย

มีคำกล่าวที่ได้รับความนิยมอย่างมากในแวดวงการเข้ารหัส: "ไม่มีกุญแจ ก็ไม่เกิดเหรียญ และเหรียญกับกุญแจจะเป็นหนึ่งเดียว" เมื่อแชร์คีย์ส่วนตัวหรือตัวช่วยจำของคุณแล้ว บัญชีดังกล่าวจะไม่เป็นของคุณอีกต่อไป สิ่งที่ดีที่สุดที่ควรทำคือเก็บคีย์ส่วนตัวไว้ไม่ให้ใครเห็น


4. ตรวจสอบ NFT ก่อนซื้อ

การตรวจสอบวิเคราะห์สถานะมีความสำคัญมากในระบบนิเวศ NFT เสมอ ก่อนที่จะซื้อหรือสร้าง NFT สิ่งสำคัญคือต้องตรวจสอบชื่อเสียงของทีมที่เกี่ยวข้องกับโครงการ การโต้ตอบแบบออร์แกนิกในชุมชนของพวกเขา และสิ่งที่ผู้คนคิดเกี่ยวกับโครงการ


5. การสร้าง NFTs โดยใช้กระเป๋าหลายใบ

ตัวอย่างเช่น กระเป๋าเงิน Burner เป็นกระเป๋าเงินสำรองที่สร้างขึ้นสำหรับการขุด NFT โดยเฉพาะ กระเป๋าเงินเหล่านี้ถูกสร้างขึ้นและให้ทุนกับปริมาณก๊าซที่จำเป็นสำหรับเหรียญกษาปณ์ หลังจากการขุดเสร็จสิ้นแล้ว NFT ที่สร้างเสร็จจะถูกส่งไปยังกระเป๋าเงินอื่น ซึ่งใช้สำหรับเก็บ NFT ซึ่งจะช่วยลดความเสี่ยงที่กระเป๋าเงินหลักจะโต้ตอบกับเว็บไซต์ที่มีช่องโหว่ คุณสามารถสร้าง Burner Wallet ได้หลายแบบ และทันทีที่พบช่องโหว่ ช่องโหว่นั้นจะถูกละทิ้ง


6. ระวังการคลิกลิงก์ไปยังบัญชีที่ไม่คุ้นเคย

เคล็ดลับทั่วไปที่แฮ็กเกอร์ใช้คือการส่งของแจกของรางวัลหรือลิงก์รายการที่อนุญาตพิเศษผ่านบัญชี Discord ที่ไม่คุ้นเคยหรืออีเมลที่เย็นชา อย่าลืมตั้งค่าให้ Telegram, Discord และ Mail ไม่ได้รับข้อความจากบัญชีที่ไม่คุ้นเคยหรือที่อยู่ที่ไม่เป็นทางการ และระวังผู้ใช้ที่แอบอ้างเป็นเจ้าของกลุ่มหรือ DM ที่เป็นทางการ


7. ตรวจสอบการอนุมัติโทเค็น & เพิกถอนโทเค็นที่ไม่ได้ใช้

ผู้คนโต้ตอบกับโปรโตคอลและลิงก์ต่างๆ ทุกวัน ทำให้เข้าถึงและอนุญาตตามข้อความบนสัญญาอัจฉริยะ สิ่งสำคัญคือต้องตรวจสอบและเพิกถอนการเข้าถึงเป็นครั้งคราว เว็บไซต์ https://revoke.cash/ สามารถเพิกถอนการเข้าถึงให้คุณได้


8. ก่อนดำเนินการในขั้นตอนต่อไป โปรดอ่านและตรวจสอบเงื่อนไขการทำธุรกรรมของสัญญาอัจฉริยะอย่างละเอียด

ก่อนยืนยันธุรกรรม โปรดอ่านทุกรายละเอียดในสัญญาอัจฉริยะอย่างละเอียดถี่ถ้วน แฮกเกอร์จำนวนมากใช้สัญญาอัจฉริยะเพื่อหลอกลวงการอนุญาตในการเข้าถึงเงินในกระเป๋าเงินของคุณได้ตามต้องการ คุณต้องอ่านอย่างระมัดระวังเพื่อให้แน่ใจว่ารายละเอียดในสัญญาไม่ก่อให้เกิดภัยคุกคามหรือช่องโหว่


9. ติดตามข่าวสารและเรียนรู้เกี่ยวกับช่องโหว่ใหม่ๆ

บทส่งท้าย

มีความสนใจเพิ่มขึ้นในตลาด NFT และอาชญากรกำลังซุ่มซ่อนอยู่ โดยใช้กลอุบายในการขโมยงานและเงินทุนจากนักสะสมและนักลงทุน ตรวจสอบให้แน่ใจว่าทรัพย์สินที่มีค่า กระเป๋าเงิน และเงินทุนของคุณไม่ตกไปอยู่ในมือของแฮกเกอร์

แท็ก:

Sponsored