NFT 防釣魚指北：如何選擇一款防釣魚插件_NFT:SIG

By: 山

“我不需要知道 Jerry 是誰，在網絡上做生意，你相信的就是網絡上的小面板，剝掉面板，你就知道這玩意實際上有多脆弱，而事實上在那網站后面操作的真人，他們才是你需要信任的人。“

——《別相信任何人：虛擬貨幣懸案》

2008 年 11 月 1 日，中本聰提出比特幣（Bitcoin）的概念，2009 年 1 月 3 日，比特幣正式誕生，而后隨著全球數字經濟加速發展，加密資產等概念爆熱，2012 年第一個類似 NFT 的通證 Colored Coin（彩色幣）誕生。彩色幣由小面額的比特幣組成，最小單位為一聰（比特幣的最小單位）。隨著技術的持續發展，時間一轉來到 2021 年，NFT 迎來了爆發性增長，逐步成為市場最熱的投資風向標之一。

藝術家 Beeple 的 NFT 作品《Everydays:The First 5000 Days》在佳士得官網上以 69,346,250 美元成交，虛擬游戲平臺 Sandbox 上的一塊虛擬土地以 430 萬美元售出……隨著水漲船高，層出不窮的高價項目持續刺激著人們的神經。然后在高價光環之下，NFT 也漸漸進入了犯罪分子的視野，從此開啟了針對 NFT 的瘋狂釣魚、盜竊等行動。

引言這段話出自 Netflix 的自制紀錄片《別相信任何人：虛擬貨幣懸案》，故事講述加拿大最大加密貨幣交易所 QuadrigaCX 首席執行官格里·科滕離奇死亡后，他將 2.5 億美元客戶資金密碼也帶進了墳墓。大量驚恐的投資者拒絕接受官方的說法，他們認為格里的“死亡”具有“金蟬脫殼”的所有特征：他還活著，已經帶著投資者的錢跑路了！

其實 QuadrigaCX 的故事只是 Web3 世界的冰山一角，而我們今天要聊的 NFT 世界里，被盜幾乎每天都在上演，列舉幾個知名案例：

2021 年 2 月 21 日，OpenSea 用戶遭到 personal_sign 類型網絡釣魚攻擊，有 32 位用戶簽署了來自攻擊者的惡意交易，導致用戶部分 NFT 被盜，包括 BAYC、Azuki 等近百個 NFT，按當時價格計算，黑客獲利 420 萬美元；

2022 年 4 月 29 日，周杰倫持有價值 320 萬元的無聊猿 NFT 被盜；

2022 年 5 月 25 日，推特用戶 @0xLosingMoney 稱監測到 ID 為 @Dvincent_ 的用戶通過發布釣魚網站 p2peers[.]io 盜走了 29 枚 Moonbirds 系列 NFT，價值超 70 萬美元；

2022 年 6 月 28 日，Web3 項目 Metabergs 創作者 Nickydooodles.eth 發推稱，黑客使用釣魚手段攻擊了他的錢包，損失了 17 枚 ETH（約合 21,077 美元）和全部 NFT 藏品，包括 Goblintown NFT、Doodles NFT、Sandbox Land 等；

RTFKTxRIMOWA合作款NFT將于10月27日開啟抽獎和鑄造活動:10月24日消息，耐克旗下加密時尚潮牌RTFKT與精品旅行箱品牌RIMOWA合作推出的NFT將于10月27日在On Cyber??開啟抽獎和鑄造活動，包括價格0.08ETH、限量2222個的Worker BotNFT以及價格2.3ETH、限量888個的Cabin Luggage NFT。Cabin LuggageNFT持有者將能夠在活動中兌換（鍛造）限量版的實體RTFKTxRIMOWA原創行李箱。

活動期間，Cabin LuggageNFT持有者將有權解鎖新的RTFKTxRIMOWANFT以及下載對應3D文件。Worker BotNFT持有者隨后將有權下載3D文件，但Worker Bot NFT在活動期間將不能被鑄造。[2022/10/25 16:37:32]

2022 年 11 月 1 日，KUMALEON 項目的 Discord 遭黑客入侵，攻擊者通過發布釣魚鏈接的方式實施攻擊，導致社區用戶大約 111 枚 NFT 被盜，包括 BAYC #5313 、ENS、ALIENFRENS 和 Art Blocks 等；

2021 年 12 月 31 日，推特用戶 Kramer 在推特稱其點擊了一個看起來像真的 NFT DApp 鏈接，結果這是一次網絡釣魚攻擊，他的 16 個 NFT 被盜，包括 8 個 Bored Apes、7 個 Mutant Apes 和 1 個 Clonex，價值 190 萬美元；

2023 年 1 月 15 日，知名博主 @NFT_GOD 因點擊谷歌上的釣魚廣告鏈接，導致所有賬戶（substack、twitter 等）、加密貨幣以及 NFT 被盜；

2023 年 1 月 26 日，NFT 知名項目 Moonbirds 創始人 Kevin Rose 的錢包被盜，丟失約 40 枚 NFT，損失超過 200 萬美元；

2023 年 1 月 28 日，NFT 知名項目 Azuki 官方 Twitter 賬號被黑，導致其粉絲連接到釣魚鏈接，超 122 枚 NFT 被盜，損失超過 78 萬美元；

2023 年 2 月 8 日，一名受害者因一個存在已久的 NFT 釣魚騙局，連接到釣魚地址，損失超過 1,200,000 美元的 USDC；

……

鑒于 NFT 被盜的頻發和影響嚴重性，慢霧科技針對 NFT 釣魚團伙發布兩次針對性追蹤分析：

2022 年 12 月 24 日，慢霧科技首次全球披露《朝鮮 APT 大規模 NFT 釣魚分析》， APT 團伙針對加密生態的 NFT 用戶進行大規模釣魚活動，相關地址已被 MistTrack 標記為高風險釣魚地址，交易數也非常多，APT 團伙共收到 1055 個 NFT，售出后獲利近 300 枚 ETH。 

韓國娛樂公司CJ ENM計劃推進元宇宙和NFT等業務:3月22日消息，韓國娛樂公司CJ ENM計劃推進元宇宙和NFT等新數字業務。韓國娛樂公司CJ ENM今日宣布成立增長戰略辦公室，該辦公室下的戰略規劃團隊將負責元宇宙和NFT業務，以實現商業化。[2022/3/22 14:11:02]

2023 年 2 月 10 日，慢霧科技再次發布《數千萬美金大盜團伙 Monkey Drainer 的神秘面紗》，據 MistTrack 相關數據統計，Monkey Drainer 團伙通過釣魚的方式共計獲利約 1297.2 萬美元，其中釣魚 NFT 數量 7,059 個，獲利 4,695.91 ETH，約合 761 萬美元，占所獲資金比例 58.66%；ERC20 Token 獲利約 536.2 萬美元，占所獲資金比例 41.34%，其中主要獲利 ERC20 Token 類型為 USDC, USDT, LINK, ENS, stETH。

除此之外，據慢霧區塊鏈被黑事件檔案庫（Hacked.slowmist.io）和 Elliptic 的數據統計，截止 2023 年 1 月，NFT 被盜的知名安全事件有幾百起，攻擊者偷走了價值近 2 億美元的 NFT。

據 SlowMist 數據顯示，2022 年 NFT 盜竊案主要集中在 Ethererum 鏈，發生在社交媒體平臺上，通過虛假域名、項目方相似域名、惡意木馬、Discord 入侵發布虛假鏈接釣魚等手法進行攻擊，詐騙者平均每次盜竊 10 萬美元。似乎不論牛市還是熊市，只有黑客在 “0 元購” 賺的盆滿缽滿。

那么問題來了：不管是普通用戶還是項目方創始人都屢遭釣魚攻擊，面對如此惡劣的 NFT 釣魚、欺詐環境，NFT 用戶是不是就毫無辦法？用戶就是待宰的羔羊嗎？

No！現在我們安全防御一直推行人防+技防的手段，即人員安全意識防御+技術手段防御。人員安全意識防御即個人安全意識，建議加密貨幣從業者可以學習下區塊鏈黑暗森林自救手冊：

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/

鑒于人是個復雜的高等動物，所以人員安全意識防御我們今天不展開講，大家區塊鏈黑暗森林自救手冊好好讀一下。

慢霧：有用戶遭釣魚攻擊，在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息，有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析，此是由于該受害用戶遭受釣魚攻擊，錯誤的對攻擊者精心構造的惡意訂單進行簽名，惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配，并以攻擊者指定的極低價格成交，導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]

而技術防御手段又是什么？簡單講就是通過軟硬件、瀏覽器插件等安全方式來保證資產等安全，而在 NFT 用戶群體，瀏覽器交互是 90% 的 NFT 用戶最常用的操作方式，也是最容易出現問題的環境，現在市場上已經有多款防釣魚瀏覽器插件，下面我們來盤點與對比下，希望能給 NFT 用戶一些安全指引。

下面我們來從幾個角度評比下幾款我們熟悉的防釣魚瀏覽器插件，看看他們各自都有哪些特點：

1、是否開源、安裝次數、支持鏈、主要功能描述：

2、NFT 釣魚網站、實時黑名單真實測試：

我們找最常見的朝鮮 APT NFT 釣魚特征和 Monkey Drainer NFT 釣魚特征，進行實時特征掃描，找到團伙最新的釣魚網站，發現時差 3 小時左右，來看下各個防釣魚插件的反饋情況：

最新惡意 NFT 釣魚站點：https://blur.do （發現時間為北京時間 2020-02-19 17:32:12）

下面為測試內容：

1 - PeckShieldAlert（Aegis）

結果：無任何提示，仍正常打開釣魚網站。

2 - Pocket Universe

3 - Revoke.cash

第九城市旗下NFTSTAR宣布和橄欖球星克里斯蒂安麥卡弗里簽定獨家數字收藏品授權協議:金色財經報道，互聯網企業第九城市今日宣布，旗下數字收藏品交易及社區平臺NFTSTAR已經和全球知名的橄欖球球星克里斯蒂安麥卡弗里（Christian McCaffrey，“麥卡弗里”）簽定獨家授權協議，NFTSTAR將獨家開發、銷售及交易麥卡弗里官方授權的數字收藏品。

麥卡弗里是美國國家橄欖球聯盟（NFL）的頂級球員之一，至今整個職業生涯都為卡羅萊納黑豹隊效力，司職跑衛（Runing Back）。2019賽季麥卡弗里憑借他在該賽季的全方位出色表現，入選NFL全明星職業碗比賽，在一個賽季中，他獲得了合計超過2000碼的成就。2020年4月，麥卡弗里與黑豹隊續簽了一份為期四年、價值數千萬美元的合同，使他成為NFL歷史上薪酬最高的跑衛。NFL是世界上規模最大的職業橄欖球聯盟，并位居北美四大職業體育聯盟之首。（第九城市官網）[2021/11/15 6:53:00]

4 - Fire

5 - Scam Sniffer

結果：提醒釣魚網站并阻止訪問釣魚網站。

6 - Wallet Guard

7 - MetaDock

8 - Metashield

9 - Stelo

NFT 概念板塊今日平均漲幅為3.45%:金色財經行情顯示，NFT 概念板塊今日平均漲幅為3.45%。16個幣種中12個上漲，4個下跌，其中領漲幣種為：SAND(+21.61%)、RARI(+20.10%)、MIX(+10.82%)。領跌幣種為：MEME(-9.78%)、SLP(-9.32%)、GHST(-0.51%)。[2021/2/5 18:58:37]

為了測試 NFT 站點釣魚的實時性、真實性，9 個安裝的插件展示如下：（Ps：Wallet Guard 已展示出我所安裝的插件。）

以上是以 3 小時時差級別的真實 NFT 釣魚網站結果。 

3、基本操作層測試內容

1 - PeckShieldAlert（Aegis）

安裝后是讓用戶自己輸入一個 Token Contract 來檢測，這種方式不符合目前 NFT 用戶急于第一時間知道站點是否是釣魚網站的需求。它更像一個在線惡意合約掃描器插件。

personal_sign 測試：無提示。

安裝后可以知道邏輯用戶觸發交易時開始檢測，所以在第一步用戶打開 NFT 釣魚網站時，是不能第一時間提醒用戶的。我們來看下第二步：

personal_sign 測試：提醒用戶已經根據鏈上地址識別出風險地址，讓用戶不要簽名，還是不錯的，符合安全插件預期。

第一步沒有標示出 NFT 釣魚網站，在第二步用戶連接釣魚網站后，根據鏈上地址識別出風險地址，提醒用戶不要簽名。符合安全插件預期。

第一步沒有標示出 NFT 釣魚網站，在第二步用戶連接釣魚網站后，根據鏈上地址沒有識別出風險地址，也沒有提示簽名風險。但是 Fire 可以把簽名預執行內容可讀性顯示出來，這點比較不錯。

安裝后用戶訪問 NFT 釣魚網站時，直接提示風險并阻斷了訪問釣魚網站。符合安全插件預期。

安裝后是在用戶觸發交易時開始檢測，所以在第一步用戶打開 NFT 釣魚網站 時，不能第一時間提醒用戶，我們來看下第二步：

personal_sign 測試：提醒用戶現在已經標記到這個釣魚網站（發現 Wallet Guard 有使用 Scam Sniffer 的惡意地址庫），提醒有風險，不要簽名，還是不錯的。符合安全插件預期。

7 - MetaDock

安裝后用戶連接釣魚網站，釣魚網站騙取用戶簽名時，插件依舊沒什么提示，無任何風險提示。更像是需要用戶主動去提交掃描的方式，不符合安全插件預期。可能 MetaDock 不是一個防釣魚插件？有興趣的小伙伴可以找項目方確認下。

安裝后與 “MetaDock”、 “PeckShieldAlert” 類似，用戶連接釣魚網站，釣魚網站騙取用戶簽名時，插件依舊沒什么提示，無任何風險提示。需要用戶主動去提交掃描的方式，不符合安全插件預期。

personal_sign 測試：無任何提示。

安裝后用戶連接釣魚網站，釣魚網站騙取用戶簽名時，插件依舊沒什么提示，無任何風險提示。

personal_sign 測試：惡意信息提示為低風險。不符合安全插件預期。

至此，對比結束。

最終對比結果

下圖為最終對比結果：

在對比后，我們發現在第一步（用戶打開釣魚網站）的識別上多數安全插件都做得不夠好，只有 Scam Sniffer 識別到了這個 3 小時時差的最新 NFT 釣魚網站，在第二步（用戶連接釣魚網站）開始 eth_sign、personal_sign 簽名等危險操作時，Pocket Universe、Revoke.cash、Wallet Guard  均做出了安全風險識別等提醒。

但這只是目前的基礎對比項，未來可能會進一步細化。

測試的安全插件名稱及版本號如下圖：

在此感謝吳說區塊鏈的拋磚引玉；感謝以上優秀的插件項目方，雖然產品定位、對比結果各不相同，不少仍有改進的空間，但是他們的努力讓區塊鏈安全更進一步！

除此之外，推薦一個使用組合 （不構成任何建議）：

1、Rabby wallet + Scam Sniffer

2、Rabby wallet + Pocket Universe

3、MetaMask+ Pocket Universe

4、MetaMask+ Revoke.cash

縱觀區塊鏈行業的釣魚攻擊，對個人用戶來說，風險主要在 “域名、簽名” 兩個核心點，其中 90% 的 NFT 釣魚都跟虛假域名有關。對用戶來說，在進行鏈上操作前，提前了解目標地址的風險情況是十分必要的，如果用戶在打開一個釣魚頁面時，相關的瀏覽器安全插件或錢包就能直接提示風險，這樣就可以把風險阻斷在第一步，直接阻斷了用戶后面的風險。就像 Web2 世界中 360 時代，直接解決了當時小白用戶被病攻擊的困擾，但它也并非解決了所有木馬病問題，因為病的查殺和病的免殺（一種專業的躲避殺軟件查殺技術，可以自行 Google 了解）永遠存在時間差，如何做到時間差更小、樣本數更快、識別更精準就決定了殺軟件的厲害程度。

同樣，在區塊鏈、NFT 行業，如何能第一步識別、提醒到釣魚站點的實時情況，在用戶端快速反饋、識別出釣魚網站，就決定了一款防釣魚安全插件的能力；而如果相關產品因為時間差的問題沒有在第一步識別到這些釣魚域名，用戶丟幣的風險就大大增加；那么接下來到第二步，用戶交互時授權鏈接、簽名步驟，如果瀏覽器安全插件或錢包有騙簽識別，能夠識別、友好的展示出用戶要簽名的詳細信息，如授權什么幣種、授權多少、授權給誰等人類可讀數據，比如 Rabby Wallet，在一定程度上也可以提示風險，一定程度上可以避免陷入資金損失的境地。

對錢包項目方來說，首先是需要進行全面的安全審計，重點提升用戶交互安全部分，加強所見即所簽機制，減少用戶被釣魚風險，如：

釣魚網站提醒：通過生態或者社區的力量匯聚各類釣魚網站，并在用戶與這些釣魚網站交互的時候對風險進行醒目地提醒和告警。

簽名的識別和提醒：識別并提醒 eth_sign、personal_sign、signTypedData 這類簽名的請求，并重點提醒 eth_sign 盲簽的風險。

所見即所簽：錢包中可以對合約調用進行詳盡解析機制，避免 Approve 釣魚，讓用戶知道 DApp 交易構造時的詳細內容。

預執行機制：通過交易預執行機制可以幫助用戶了解到交易廣播執行后的效果，有助于用戶對交易執行進行預判。

尾號相同的詐騙提醒：在展示地址的時候醒目的提醒用戶檢查完整的目標地址，避免尾號相同的詐騙問題。設置白名單地址機制，用戶可以將常用的地址加入到白名單中，避免類似尾號相同的攻擊。

AML 合規提醒：在轉賬的時候通過 AML 機制提醒用戶轉賬的目標地址是否會觸發 AML 的規則。

慢霧科技

個人專欄

閱讀更多

金色早8點

金色財經

Odaily星球日報

歐科云鏈

Arcane Labs

深潮TechFlow

MarsBit

澎湃新聞

BTCStudy

鏈得得

Tags：NFTSIGNSIGIGNKAMAX Vault (NFTX)SignataSIGT幣Reign of Terror

BNB