Web3安全警示丨新资产协议热潮下，普通用户如何有效保障自身加密资产安全？

随着新资产协议和 NFT 生态快速发展，各种新玩法层出不穷的当下，如何有效保护好自己的加密数字资产成为Web3用户所面临的新挑战。在由 NFTScan 和 Mint Blockchain 联合举办的 Twitter space NFT 新资产聊天室，邀请到了 imToken、Onekey、慢雾科技、NFTScan 等行业各领域的权威们，探讨在这一热潮中如何有效保护自己的加密资产，并分享一系列实用经验和建议。

Host：Yuri | NFTScan

Guest：

Liz | SlowMist Team

Mako | Market Researcher Lead of imToken

Niq | Chief Content of OneKey

Shier | Co-founder of NFTScan Labs

Yuri | host：

根据 NFTScan 的数据显示，现在链上每天新增大概 600 万枚 NFT 资产，4000~6000 个 NFT 资产合约，随着 NFT 资产规模的大规模增长，出现了通过 NFT metadata 进行诱导的钓鱼事件，尤其是在 EVM 网络和 L2 网络上，比如 BNBChain、Polygon、Base 等，进而导致资产损失，关于这一点各位老师有没有一些应对的策略，给到 dApp开发者和 Web3 用户？

Niq | OneKey：

链上NFT诈骗主要有两种形式。首先是批量发送无价值的NFT到用户钱包，目的是使用户在OpenSea等网站上点击这些NFT，从而被诱导到钓鱼网站并获取用户的许可签名。例如，诈骗者可能发送标记为“未解锁”的NFT，并引导用户访问特定网站进行解锁，用户一旦签名便授权了代币。另一种是通过修改合约的“Sleep Minting”或假Mint，主要针对新手，这种修改使得在某人的钱包交易记录中显示为Mint了NFT，实际上是诱导用户访问包含钓鱼元数据的NFT网站。

尽管一些平台如OpenSea已能过滤大部分诈骗，一些钱包还是可能显示这些活动。这类诈骗在交易记录的元数据模式中一致，开发者可以通过专门的API轻松识别和过滤。

对普通用户而言，维持基本的安全意识非常关键，应对看似诱人的免费空投或代币链接保持警惕。了解到并非所有Mint行为都是自发的，许多钓鱼NFT是通过假Mint产生，故应保持警觉，避免陷入诈骗陷阱。

Mako | imToken：

确实，Niq已经很好地解释了这个问题。这些诈骗行为，尤其是诱导用户前往第三方网站进行Mint确实普遍存在。尽管我们和许多钱包与安全机构已经做了大量科普，但社区中仍然频繁出现这类问题。但很多用户未亲身经历这些问题，可能就不会特别关注安全风险。

在imToken这边，我们有跟第三方API合作也建立了自己的过滤规则，但仍能接收到用户的反馈，安全措施虽普及但并非万无一失，需要通过社区共建来共享和交流关于诈骗的数据的重要性。

此外，我们进行的市场调研显示，如Simple Hash这样的公司通过类似白名单的方法为NFT提供评分服务，尽管可能与区块链精神不完全符合。但我认为，随着AI技术的发展，AI辅助识别风险和提供安全提示的能力逐渐提升，未来防范诈骗这方面，区块链与AI技术可能会有效结合。

Shier | NFTScan Labs:

在NFTScan，我们从数据服务的角度出发，首先在数据源头实施了安全策略，目的是为下游开发者过滤掉垃圾和风险资产。我们为B端开发者开放了API接口，允许他们主动提交观察到的或从C端用户收到的垃圾资产信息。收到反馈后，我们进行安全审核并可能标记过滤，防止这些资产流向下游。

我们还定期分析链上资产的发行和交易模式，寻找规律后使用算法进行二次过滤。此外，NFTScan浏览器也增设了用户反馈入口，允许用户提交他们发现的风险资产或垃圾资产，以期通过B端和C端的共同努力，输出更高质量的资产或消除潜在安全风险。

同时还需要还提醒C端用户，由于NFT资产的可编程性，Metadata中的信息可能随时变化，因此在浏览涉及可疑链接或文档的图片、视频、音频时应格外谨慎。对于那些声称可以领取大量U的广告，应学会自动屏蔽，很可能是钓鱼行为。这基本上是NFTScan对整个链上NFT资产进行的一系列策略，抵御诱导钓鱼和批量空投的广告垃圾资产。

Liz | SlowMist：

我们都知道Metadata是指NFT包含的特定信息，比如名称、描述、图片和动图等，但这些信息因NFT的性质或创作属性而异，而元数据的这种灵活性也带来了多重风险：

首先是信息误导或篡改，如果元数据由创作者任意设定，购买者可能因信息误导或篡改而遭受损失。其次如果NFT的元数据存储在链下服务器中，一旦服务器停运或受攻击，相关的元数据可能丢失，从而损害NFT的价值。最后图片或动图的URI可能用来采集用户的基本隐私信息，导致隐私侵犯。

面对这些问题，我认为我们可以采取以下几点应对措施：

首先，购买NFT时应选择知名的、主流的、可信赖的平台。其次，我们还需启用包括双因素认证、邮箱或手机验证在内的各种安全措施，以提高账户的保护级别。虽然这些安全措施很重要，但还不足以完全保障安全。

因此，我们还需要养成定期进行安全检查和系统更新的习惯，以确保长期的安全性。切勿随意点击来源不明的链接，特别是那些可能请求敏感信息的链接。

Yuri | host：

最近一年行业内出现了很多新的加密资产协议标准，带来很多发行新资产的热点和玩法，包括 铭文、BRC20、ERC404、Memecoin、Restaking、撸空投等，普通的 Web3 用户在参与的过程中，就是大家有没有一些建议可以给到？怎么样去防范这样一个安全问题？

Niq | OneKey：

刚刚提到关于Restaking相关的一些安全问题，特别是涉及到大额资产被盗的情况。据Scam Sniffer报告，一些涉及质押代币的被盗案件频发，包括几起平均交易额达两百万美元的盗窃。这些案件通常涉及盗用的permit签名和用户与不熟悉合约或网络的高风险交互。

此外，市场上一些声称能一键检测和领取空投的工具，实际上增加了使用大额资金地址的风险。因此，重要的是在进行高风险交易前将资产转移到安全的位置，并在交易后彻底撤销所有授权，确保所有风险已被妥善处理。总之，与不熟悉的工具或项目交互时，确保采取适当的预防措施至关重要，降低风险敞口。

Mako | imToken：

最近关于互不接盘的话题特别受关注，尤其是一些玩铭文、Solana等项目。在参与这些项目时，我通常选择使用新的钱包，而对于小项目通常不使用硬件钱包。

然而，涉及大额资产时，我会选择硬件钱包进行staking等活动。对于发布的MemeCoin等，我倾向于用小额钱包操作。获取信息的主要渠道是通过Twitter等社交媒体，但需警惕假冒账号，很容易让人上当受骗。

从经验来看，判断推文可信度的一个方法是查看我认识的人是否关注了这个账号。有关取消授权，我发现其实在以太坊上直接更换地址经济实惠。其次，在参与MemeCoin或其他热门项目时，我认为重要的是量力而行，认清市场波动是常态，及时获利了结。​

Liz | SlowMist：

最近，我们收到了很多用户因钱包私钥被盗的报告，这再次凸显了钱包安全的重要性。正如常言“不是你的私钥就不要泄露”，这是大家都熟悉的安全原则。

例如，许多盗窃案件发生是因为用户将私钥或助记词明文保存在不安全的地方，如桌面文档、表格或微信收藏等。此外，一些用户在使用应用时没有切换到正确的网络，导致资产被误转到其他链上，如果钱包或平台不支持新协议，资产很容易丢失。

因此，在参与任何项目前，都应仔细阅读白皮书，研究项目背景，并尽量选择经过安全审计的项目或平台，避免盲目跟风造成损失。同时，尽管自动化工具方便，但使用前必须确保能够正确操作，以防误操作带来严重后果。

Shier | NFTScan Labs:

确实，对于投资或参与较小的加密项目，换一个专门的钱包是一种非常直接且安全的做法，尤其是当这个钱包不需要存放太多资金时。此外，当我们浏览一些大型项目的官方推特时，尤其是那些有空投预期但还未发行空投的情况。我们在 Mint 这边会采取一种预防措施。例如，在推特活动结束时，会发布一张图明确声明这是该系列推文中的最后一条，以此来防止钓鱼诈骗的发生。

然后我总结一下，对前面三位老师说的就大概有这么几点：

防范钓鱼网站：要特别注意不要误入钓鱼网站。确保通过官方社交媒体或官方网站获取项目信息，并在确认后再进入官方网站，以减少被钓鱼的风险。

钱包连接授权：在进行签名操作时，务必仔细查看签名信息，确保知晓其目的。这一步至关重要，可以避免资产被不明签名操作所损失。

资产安全：尤其在参与新协议时，要注意保障资产安全，最好做好资产隔离，尽量减少对主力资产的操作，以降低风险。

私钥管理：对于私钥管理，需要认真学习和研究。使用硬件钱包是一个不错的选择，比如像OneKey和imToken这样的专业硬件钱包。同时，确保连接的网络和钱包是可信的也是至关重要的。

Yuri | host：

最后一个问题，在区块链这个黑暗丛林中，如何有效的保护加密资产安全呢？请各位老师给大家分享一些用真金白银换来的教训和经验。

Shier | NFTScan Labs:

最近我们遇到了一个问题，有人冒充投资机构在Twitter上私信我们，并提供了一个Zoom会议链接。这个链接要求我们用官方社交媒体账号授权，初看似乎不寻常，但考虑到可能是为了确认身份我们决定授权。不幸的是，这是一个钓鱼链接，攻击者通过这种方式在深夜发起攻击并获取了我们官方账号的编辑权限。我们的社区迅速反应，我们取消了所有Twitter授权，及时控制了局面。

另一个案例发生在一波去中心化流动性挖矿热潮期间，一个朋友在开源一个脚本时不慎公开了自己的私钥，导致损失了数十万美元的资产。

这些案例强调了安全事故往往可以防范，常因缺乏警觉和安全意识，提醒我们在进行任何投资或操作时必须维持高度警觉和采取严格的安全措施。

Niq | OneKey：

讨论到"黑暗丛林"，必须提及慢雾近日发布的《黑暗森林自由手册》v1.2版本，其中提出的零信任和持续验证两大安全法则非常精辟。

我曾经遇到的一个例子就是关于一个空投人设，该团队发布教程赢得信任后，突然推出含有恶意链接的教程，导致许多人私钥被盗。这不仅是技术攻击，同时也利用了社会工程学中的人际信任，信息交互和人际间相互作用是十分重要的。

因此，始终实行零信任和持续验证至关重要。此外，避免在精神状态不佳时操作，管理好自己的风险敞口，经常检查自己授权给合约的代币数量，以及自己持有的代币是否处于一个不稳定的项目中。这些策略则是应对黑暗丛林中风险的关键。

Mako | imToken：

随着时间推移，钱包用户教育显著进步，没有备份习惯的用户已大为减少。但偶尔仍有触目惊心的例子，例如用户的备份被亲人发现并盗用，显示出资产安全意识的不足。即使在家庭中，也必须保持一定的安全措施。

一个常见问题是用户通过搜索引擎下载假钱包，如有用户误下载了假“imToken”应用，损失了约15万美元。我还见过人们在小红书上分享助记词，通常出于贪小便宜。我尝试将这样的助记词导入空钱包，发现有100美元，很快就被自动脚本转走，典型的钓鱼行为。此外，我们与慢雾讨论了自定义IPC问题，许多人在尝试领空投时，会被骗子要求配置特定的IPC，用以窃取资产。

这些例子强调，不应贪图小便宜或自以为聪明。我们持续进行用户教育，但许多人可能只有在事情发生后才会关注。

Liz | SlowMist：

我这里想分享一些关于钓鱼事件的信息。根据我们每天接收到的受害者提交的被盗信息，钓鱼活动每个月都在逐渐增长，并且在被盗原因中占比相当大。

盲签钓鱼是目前最常见的钓鱼类型之一，以eth_sign签名方法为例，这是一个开放式签名方法，允许对任意hash进行签名，用于交易或数据签名。这对非技术用户而言难以理解，易埋下钓鱼风险。幸运的是，现在许多钱包已开始提供安全提示，以减少资产损失。

在防止钓鱼方面，用户应在交互前核实项目官网，并警惕任何恶意签名请求。重要的是，不应在任何地方泄露助记词或私钥。项目参与前，要考虑项目是否匿名、团队是否知名、代码是否经过安全审计及其质量。用户应优先参与知名且经过多方面安全审计的Web3项目，同时留意这些审计是否持续更新，以应对新的安全挑战。

最后，我还想提醒大家，我们的《区块链黑暗森林自救手册》是一个很好的资源。我建议大家定期阅读，尤其是那些可能因为熟悉而放松警惕的人。即使内容可能有些基础，但常读常新，可以帮助我们避免掉入常见的陷阱。