Cách những kẻ lừa đảo đang khai thác cơn mê NFT

0
1743

Tóm tắt

  • Thị trường NFT bùng nổ đã trở thành mục tiêu chín muồi cho những kẻ lừa đảo.
  • Họ đã tận dụng nhu cầu về các dịch vụ hỗ trợ – và thời điểm hỗn loạn mà NFT lần đầu tiên được đưa ra.

Ngành công nghiệp tiền điện tử luôn bị cản trở bởi những kẻ lừa đảo cơ hội, từ những kẻ đang chạy các chương trình tặng quà trên Twitter cho đến những token airdrop để làm mồi nhử, chúng sẽ đánh cắp tất cả các token của bạn nếu bạn cố gắng di chuyển chúng.

Giờ đây, với việc bán NFT như những chiếc bánh hotcakes (và cả kỹ thuật số), những kẻ lừa đảo đã thay đổi chiến thuật của mình để khai thác thị trường đang phát triển này – và những nỗ lực của họ dường như đang phát huy tác dụng.

Có hai cách chính mà họ đang tìm cách truy cập vào ví của một người và bất kỳ token nào được giữ trong đó.

Giả vờ cung cấp dịch vụ hỗ trợ

Một chiến thuật quan trọng là giả vờ cung cấp dịch vụ hỗ trợ thay mặt cho OpenSea trên thị trường NFT.

Kỹ thuật này hiệu quả vì có rất nhiều vấn đề với NFT, từ việc kiểm tra xem một bộ sưu tập có chính thức hay không, NFT không hiển thị trong ví hoặc đôi khi chúng hiển thị với các thuộc tính không chính xác. Những loại vấn đề này yêu cầu trợ giúp và do đó, người mua bối rối sẽ tìm kiếm sự hỗ trợ từ tổ chức phát hành NFT hoặc thị trường mà họ đang giải quyết.

Điều thường xảy ra là người mua NFT sẽ liên hệ với sự trợ giúp trong nền tảng nhắn tin Discord, nền tảng đã phát triển thành trung tâm của các hoạt động và cuộc trò chuyện của NFT.

Vấn đề: việc ai đó thiết lập một tài khoản có tên là “Hỗ trợ OpenSea” hoặc tương đương và lượn lờ trong các nhóm trò chuyện này là điều tầm thường. Khi ai đó đề cập đến vấn đề của họ, dịch vụ hỗ trợ giả mạo sẽ liên hệ với họ qua tin nhắn trực tiếp đề nghị giúp đỡ.

Một chiến thuật khá hiệu quả liên quan đến ví trong trình duyệt MetaMask. Kẻ lừa đảo sẽ mời người dùng chia sẻ màn hình của họ và hướng họ đến một phần nhất định của ví được thiết kế để kết nối ví của bạn trên các thiết bị khác nhau. Bằng cách làm này, kẻ lừa đảo sẽ thiết lập ví trên thiết bị của riêng chúng, có được quyền truy cập hoàn toàn vào tiền của người dùng.

Vì điều này đã trở thành một vấn đề lớn, MetaMask đã tạm thời vô hiệu hóa chức năng này.

Vấn đề chính xác này đã xảy ra với Jeff Nicholas, giám đốc sáng tạo tại Authentic AI. Trong một chuỗi tweet, anh ấy mô tả cách anh ấy đến OpenSea Discord để tìm kiếm sự hỗ trợ và cuối cùng bị một kẻ lừa đảo dụ dỗ vào DM bởi một kẻ lừa đảo với tên của họ là “OpenSea”. Cuối cùng, anh ấy đã hiển thị mã QR cho phép chuyển tài khoản sang một thiết bị khác, sau đó anh ấy bắt đầu nhận thấy ví của mình đã bị làm trống.

“Họ đã chuyển mọi thứ. Tất cả khỉ, chó, mèo, airdrop, tất cả ETH, ”anh ấy đã tweet. “Chúng cũng đang ở trong tài khoản khác của tôi, vì vậy tôi tham gia và cố gắng tận dụng hết mức có thể, chuyển nó ra một ví khác trước khi tất cả biến mất. Tôi nhận được một vài NFT, một số token. ”

Mặc dù phần này của cuộc tấn công có thể không còn hoạt động đối với MetaMask, nhưng điều quan trọng cần lưu ý là các tài khoản hỗ trợ được cho là trong Discord có thể là giả mạo – và chúng sẽ sử dụng bất kỳ thủ thuật nào trong sách để lấy cắp tiền của bạn.

Lợi dụng sự nhầm lẫn NFT “mint”

Những kẻ lừa đảo không chỉ nhắm mục tiêu đến NFT nói chung, mà chúng còn đang tập trung đặc biệt vào các loại mint – biết rằng chúng là thời điểm hoàn hảo để khiến mọi người mất cảnh giác.

Khi NFT được khởi chạy, có một ngày và giờ công khai được thông báo trước. Tại thời điểm này, trang web sẽ cung cấp nút “mint” và bất kỳ ai cũng có thể trả tiền để tạo một trong các ví dụ: 10.000 NFT. Nếu nhu cầu cao về bạc hà, nó có thể bán hết trong vài phút, hoặc thậm chí vài giây. Điều này có thể khiến khoảnh khắc trở nên cực kỳ căng thẳng, đặc biệt là khi mint không hoàn toàn theo kế hoạch, như thường xuyên xảy ra. Nó cũng có thể dẫn đến nhiều nhầm lẫn – và đó là lúc những kẻ lừa đảo lợi dụng.

Cả ngay trước khi đúc tiền, những người mua NFT tiềm năng sẽ tìm kiếm nơi nó sẽ xảy ra và các chi tiết chính (tốt nhất có thể tìm thấy trong Câu hỏi thường gặp). Trong thời gian đó, nếu có bất kỳ vấn đề gì họ sẽ tìm kiếm câu trả lời và giải pháp. Họ thường sẽ ngồi trong cuộc trò chuyện chung chính trong kênh Discord có liên quan.

Một phương pháp là giả vờ cung cấp dịch vụ đúc tiền. Kẻ lừa đảo sẽ nói rằng xưởng đúc tiền đã sai và cách duy nhất để có được NFT là gửi tiền điện tử đến địa chỉ ví mà chúng cung cấp.

Một ví dụ khác là khi những kẻ lừa đảo sẽ đăng các liên kết giả mạo, hy vọng rằng mọi người sẽ không nhận thấy. Một chiến thuật là đăng một liên kết trang web tuyên bố rằng đó là nơi diễn ra sự sụt giảm. Nó sẽ trông tương tự như trang web chính thức, nhưng nó có thể sẽ giao dịch tất cả NFT của họ ra khỏi ví của họ.

Chiến thuật đặc biệt này đã ảnh hưởng đến nhà phân tích nghiên cứu của Messari, Chase Devans, người đã sử dụng một liên kết mà bạn của anh ta nhìn thấy trong Discord và đưa cho anh ta. Khi anh ta cố gắng kiếm một NFT trên trang web, phải mất 15.000 đô la solana (SOL) từ ví của anh ta và tất cả NFT của anh ta.

Anh ấy đã tweet:

“Tôi đã nhận được rekt trước đây. Shitcoins, ngày 19 tháng 5 đổ xuống, bạn đặt tên cho nó. Tuy nhiên, điều này gây tổn thương khác nhau. Tôi đã hoàn thiện thủ công của mình và xây dựng một nền tảng vững chắc trên SOL dựa trên các nguyên tắc cơ bản. Tất cả biến mất ngay lập tức, đồ ngốc.”

Các chiến thuật như vậy đã rất hiệu quả trong buổi đúc tiền NFT ngày hôm qua cho dự án dựa trên Solana Aurory. Một ví đã kết thúc với 1,5 triệu đô la và 350 NFT, một số trong số đó sau đó đã bị đóng băng. Vì có một lỗi trong hợp đồng đúc tiền khiến NFT được bán với giá 1 SOL thay vì 5 SOL, nên một kẻ lừa đảo cuối cùng đã kiếm được nhiều tiền hơn cả các công ty phát hành NFT.

Một khía cạnh có liên quan ở đây là ví Solana phổ biến Phantom có một tính năng tự động phê duyệt sẽ phê duyệt bất kỳ giao dịch nào từ một trang web đã được phê duyệt (được thiết kế để làm cho nó nhanh hơn). Nhưng điều này có thể cho phép trang web chấp thuận một loạt các giao dịch khác, có khả năng khiến NFT của bạn gặp rủi ro. Phantom cho biết họ đang loại bỏ tính năng này.

Lời khuyên chính ở đây là hãy kiểm tra xem bạn có đang sử dụng các liên kết chính thức hay không, thường có thể tìm thấy trong kênh Câu hỏi thường gặp của dự án – và không sử dụng bất kỳ liên kết nào được cung cấp trong một kênh mở. Ngoài ra, bạn nên thiết lập một chiếc ví riêng để sử dụng cho mỗi loại tiền để bạn không thể mất nhiều hơn những gì có trong chiếc ví đó.

Để lại phản hồi

Please enter your comment!
Nhập vào họ tên