黑客开始瞄准 NFT，远离这个 NFT 防盗指南

学习安全存储您的 NFT 资产并避免诈骗。

原标题：《NFT防盗指南：如何保证资产安全？》

随着NFT用户数量、交易量和市值的不断增加，钓鱼者、黑客等不法分子也开始瞄准这一市场，进一步威胁到NFT生态系统的安全。

由区块链安全和数据分析公司 PeckShield 编制的表格显示，总价值约 170 万美元的 254 个 NFT 在一次网络钓鱼攻击中被盗； 3738年愚人节周杰伦的NFT BAYC#被盗。本次事件是钓鱼网站诱导mint获取用户NFT操作权的典型案例；一个名为 MoonManNFT 的项目，它使用了免费薄荷的名称，窃取了近 400 个 NFT……

一般来说，黑客会通过 Discord 和 Telegram 锁定收藏者，并通过诱导铸币、钓鱼攻击等方式窃取用户的 NFT 资产。随着当前的技术发展，NFT 投资者和收藏者必须及时了解最新的方法保护他们的资产。

NFT 安全存储基础知识

记住：

1.你的 NFT 存储在哪里？

NFT 不存储在冷钱包、PC 端或热钱包中。 NFT 是位于以太坊区块链上的代币，由全球运行的 2,400 多个网络节点托管。 NFT 由一个完全去中心化的系统支持，保证了 NFT 生态系统的正常运行，也可以验证在线交易。当您进行 NFT 交易时，实际发生的是数据库更改了该 NFT 的地址。

2.您的图片、GIF 和音乐在哪里？

NFT的URI（Uniform Resource Identifier）标记了图片的位置。 NFT 通常位于 IPFS 或 Arweave 等去中心化存储空间中。在 Web2 中，也有像 AWS 这样的中心化存储。

3.钱包

Wallet 是一种存储私钥并可以支持交易活动的软件。钱包有两种类型：热钱包（软件钱包）和冷钱包（硬件钱包）。

热钱包（软件钱包）：可以在通用设备上运行，可以连接Web3，只需点击鼠标即可接收资产的软件。

冷钱包（硬件钱包）：专用于硬件设备，能够连接Web3并接收资产。它与热钱包的主要区别在于，冷钱包的助记词永远不会连接到互联网，并且必须通过物理方式（如触摸屏）进行批准才能进行交易。

选择合适的钱包后，你需要了解它的功能：

首先，热/冷钱包会要求您创建一个密码，该密码在特定设备上是唯一的。只有知道密码才能访问钱包。

你可以自由分享你钱包的公共地址，这个地址和Web3的邮箱没有什么区别，任何人都可以用你的地址给你发NFT。这也催生了新的黑客攻击媒介。黑客将 NFT 发送给人们黑客卖比特币钱包，当人们与该 NFT 交互时（例如将其发送到另一个钱包或出售它），黑客会窃取该人钱包中的资产。记住，不要点击不熟悉的 NFT！此外，人们使用流氓签名或批准来获取您的 IP 地址。

网络钓鱼电子邮件也是常见的骗局。这封电子邮件的目的是引诱您将您的钱包连接到一个虚假网站，以便黑客可以窃取您的资产。所以，不要点击不熟悉的链接！请务必不时检查网站名称。目前，黑客攻击的方法比较简单。您只能从公共地址和电子邮件开始，只要您忽略它们即可。

您需要保留私钥，这是访问您的公共地址的密码。私钥的作用是：

(1）将你的 NFT 移出地址。

(2）签署合同以证明您拥有该地址的私钥（类似于验证您拥有公共地址）。

最大的公钥和私钥不同的是，你永远不能向任何人透露你的私钥。否则，他们可以将您的私钥导入他们的钱包并窃取您的所有资产。

明确了 private 和 public 地址的概念，我们来看看助记词。助记词一般由12、18或24个单词组成，用于找回钱包。如果您丢失了私钥，您可以使用助记词创建一个新的。与私钥一样，助记词永远不会被第二个人知道，也不能存储在电子存储设备或服务提供商（例如 google drive、icloud、相册、电话笔记和副本）中。理想的方式是物理存储黑客卖比特币钱包，例如在纸上书写。有些人还使用铁来存储助记符，因为它更防火。其他方式，例如密码，也可以提高钱包的安全性。密码是一串符号或单词结合助记词，你可以在原钱包的基础上创建一个新的钱包。例如，要在原有钱包的基础上新建一个钱包，只需输入：

以上任何一种方法都可以用不同私钥公共地址的新钱包创建钱包，但密码功能仅适用于冷钱包。

4.添加第二层保护

购买冷钱包是为了提高安全性 最受欢迎的硬件钱包是 Trezor、Ledger 和 Keystone，但它们各有优缺点。每个冷钱包都有自己的特点。例如Keystone使用二维码进行数据传输，避免了木马病毒通过USB接口或蓝牙传输到硬件钱包的风险，也是首个支持ENS（Ethereum Name Service）的硬件钱包，免除了木马病毒的麻烦。检查原始地址。此外，用户还可以使用 NFT 定制自己的 4 英寸屏幕。

我们以Keystone为例进行设置。

(1）从官网购买Keystone钱包。

(2）安装 Keystone 套件。

(3）启动 Keystone.

(4）设置您的钱包 PIN - 此设备专用的密码。

(5）如果是企业使用，建议使用Shamir私钥拆分方案，将2组助记词分成3组，或者将3组助记词分成5组，可以保留这些3 组私钥在不同的地方。如果你有 5 个 Shamir 备份中的 3 个并且丢失了其中的 2 个，你仍然可以使用剩余的 3 个备份来恢复你的钱包。

我们以一个BAYC的转账为例，具体看一下NFT硬件钱包的使用情况。在 Keystone 中，用户可以使用 microSD 卡中上传的 ABI 数据文件快速确认地址的真实性。地址旁边会出现蓝色字体的“Board Ape Yacht club”，还需要确认交易是否涉及恶意行为，以免将你的NFT签名给骗子或黑客。

如何避免 NFT 诈骗

1.一定要从官网下载Web3应用或钱包

加密/NFT 黑客攻击的主要原因是用户访问非官方网站。这些网站中的绝大多数都是为诈骗而构建的，看起来与官方网站非常相似。不要从 Google Play 下载 Web3 应用程序，它们可能不是从原始来源获得的。官网识别可以参考以下建议：

(1）跟随网址栏。只点击以（不要点击！）开头的网址，“s”代表“安全”，表示该网站的数据是加密的，并且传输，可以防止黑客攻击。

(2）查看域名。黑客最喜欢的伎俩是创建一个山寨网站，其域名与原网站非常相似，只需双击即可注意区别。对于例如，这个网站可能是仿冒版。记得不时双击域名的所有字母。

(3）注意拼写错误。发音、大小写和语法都会出错。

2.只浏览官方频道、官方推特和官方链接

如前所述，您只能信任官方网站、Twitter 帐户和不和谐。您可以使用以下建议进行验证：

(1）检查帐户活动。

(2）查看关注者。

p>

(3）查看账户历史记录。