Останнім часом багато проектів NFT та інвесторів скаржаться на крадіжки активів, навіть відомі творці не уникнули цієї долі. Засновник Moonbirds Кевін Роуз нещодавно підтвердив, що його гаманець був зламаний, і він втратив 25 Chromie Squiggles та інші NFT, що привернуло увагу багатьох. Насправді шахрайства з NFT вже стали звичайною практикою у цьому колі, з безліччю різних схем. Сьогодні хочу поговорити про найпоширеніші з них, щоб ви не потрапили на гачок.

Спершу про фальшиві рекламні вікна. Крипто-інфлюенсер NFT God через натискання на підозріло офіційне посилання у пошукових системах Google потрапив на шкідливий сайт, що призвело до зараження його пристрою та крадіжки всіх активів. Система реклами Google дозволяє будь-кому платно зайняти перше місце у пошукових результатах, що дуже привабливо для шахраїв, оскільки користувачі часто натискають саме на перші посилання.

Ще одна поширена схема — фальшиві розіграші (аірдропи). Зловмисники спершу роздають невідомі NFT, а потім пропонують їх купити за високою ціною. Якщо ви погоджуєтесь, вас можуть перенаправити на фішинговий сайт для авторизації, і активи зникнуть. Підроблені NFT — теж поширена практика: хтось краде роботи відомих художників і виставляє підробки на ринок, створюючи кілька фальшивих транзакцій, щоб заплутати покупців.

Масове поширення — фішингові листи. Під час оновлення смарт-контракту OpenSea хакери від імені офіційних представників розсилали фальшиві листи з нагадуваннями, і багато користувачів потрапили на фішингові посилання. Власники великих проектів, таких як BAYC, Doodles, також не застраховані. Оскільки багато NFT-проектів вимагають прив’язки пошти, це створює можливості для зловмисників видавати себе за офіційних представників.

Злам або підміна офіційних акаунтів — ще одна серйозна проблема. Наприклад, акаунт BAYC в Instagram був зламаний, і хакери під виглядом офіційних осіб публікували шахрайські посилання, що змушувало користувачів підключати MetaMask до фальшивих гаманців, у результаті чого було вкрадено NFT на суму понад 2,8 мільйона доларів. Discord Yuga Labs також був зламаний, і зловмисники публікували фішингові посилання у офіційних каналах.

Ще один хитрий прийом — створення адрес із однаковим кінцевим номером. Більшість користувачів перевіряють лише перші та останні кілька символів адреси, тому шахраї підробляють контрактні адреси, що виглядають ідентично, і розсилають невеликі суми токенів у аірдропах. Коли ви копіюєте і вставляєте адресу, вас можуть обдурити.

Знаючи ці схеми, як захистити себе? Найголовніше — зберігати приватний ключ і мнемонічну фразу у безпеці. Якщо вони стануть відомі, відновити їх буде неможливо, на відміну від Web2-акаунтів, де можна змінити пароль. Шахраї часто використовують аірдропи, Free Mint або підроблених офіційних адміністраторів, щоб змусити вас здати приватний ключ.

Також важливо виробити звичку: зберігайте закладки на офіційні сайти, заходьте через офіційні соцмережі, не натискайте на посилання у приватних повідомленнях або листах без перевірки. Встановлення антіфішингових плагінів допомагає розпізнавати підробки. Активи слід тримати у різних гаманцях: для торгівлі, для мінту та великих сум — окремо, а гаманці з великими сумами краще не використовувати для щоденних операцій.

Перед участю у NFT-проектах потрібно ретельно досліджувати їх: перевіряйте сертифікацію соцмереж, перехресно перевіряйте інформацію з різних джерел. При переказах обов’язково перевіряйте повний контрактний адрес, краще використовувати функцію вибору адрес із адресної книги гаманця, щоб уникнути підміни.

Якщо вас вже зламали, перш за все — ізолюйте активи, змініть усі паролі на соцмережах, і якщо був вірус — відключіться від мережі. Потім звертайтеся до професійних компаній з безпеки для відслідковування коштів. Методи шахрайства у NFT постійно удосконалюються, тому обізнаність і обережність — найкращий захист. Бажаю всім безпечних досліджень у цій екосистемі.