Самые распространенные скамы в NFT и как от них защититься

В крипте мы не обманываем друг друга (с). Но самом деле скамеры есть везде и всегда и особенно в тех сферах, о которых люди знают сравнительно мало. В одном из прошлых постов на theфириум мы разбирали самые распространенные способы скама для криптовалют, а сегодня рассмотрим популярные схемы скама в NFT и как с ними бороться.

ТОП-4 самых распространенных скамов NFT

На самом деле, количество опасностей для NFT сравнительно меньше, чем для криптовалют, но только потому, что пока у нас слабо развит DeFi-сектор с применением взаимозаменяемых токенов. В числе самых распространенных скамов:

Фишинг

Фишинг был и остается одним из самых распространенных способов кражи NFT. Основная цель фишинговых атак - получить доступ к кошельку жертвы. В зависимости от стратегии и технической подготовки скамеров фишинговые сайты могут просить:

ввести свою seed-фразу, для верификации/подтверждения/аннигиляции и других не совсем понятных процессов.

Еще раз напоминаем: никогда, никому и ни при каких условиях не сообщайте свою seed-фразу. Это даст ее обладателю полный доступ к вашему кошельку. Ни один саппорт не будет требовать от вас эту информацию.

подтвердить взаимодействие со смарт-контрактом - многие смарт-контракты требуют право на распоряжение активами, поэтому криптаны уже даже не особо обращают внимание на такие запросы от MetaMask. Но если вы подтвердите взаимодействие на фишинговом сайте, то можете попрощаться с активами.

Чтобы вы дали право на распоряжение активами или ввели сид-фразу, скамерам нужно создать видимость надежного ресурса, у которого есть основания запрашивать подобную информацию. Поэтому фишинговые сайты в большинстве случаев маскируются под страницы с:

фейковыми раффлами - клоны условного Premint или аналогичных площадок, которые могут требовать подключить кошелек для участия в розыгрыше места на перспективную коллекцию.

фейковыми минтами - это могут быть как клоны минт-страниц существующих коллекций, так и отдельные коллекции, которые создаются и пампятся с одной только целью - собрать кошельки участников.

Иногда для распространения фишинговых ссылок используют взлом - например хакеры смогли разослать ссылку на фейковый минт, взломав Discord и BAYC и Otherside и создали фейковое объявление после взлома Premint.

Это особенно опасные случаи, поскольку пользователи получают информацию из официального источника, не подозревая, что он уже скомпрометирован.

Реже фишинг проводят от имени саппорта кошелька или обменной платформы. В таких случаях делают предварительную email-рассылку с фейкового домена, а в самом письме дают ссылку на сайт для “верификации кошелька”, участии в бонусных программа и т.д. Так, например, было с MetaMask.

Фейковые ставки

Мы уже описывали эту схему вкратце в нашем гайде по NFT-маркетплейсам. Она особенно удачно работает на флип-коллекциях, владельцы которых спешат сбросить джипег по лучшей цене. Суть ее в следующем:

Злоумышленник выбирает площадку, на которой можно делать ставки в нескольких валютах. Например на OpenSea это ETH и DAI.
Дальше он ищет коллекцию, цена которой определена в ETH. Заходит под конкретный лот и делает вполне хорошую ставку, только не в ETH, а в DAI.
Владелец может в спешке принять предложение и отдать свою NFT в несколько сотен раз дешевле флор прайса.

Именно такая история произошла с владельцем BAYC #835, который продал NFT стоимостью более 100 ETH за 115 DAI. Так что внимательно изучайте ставки перед тем как отклонить или принять их.

Коллекции-клоны

Поскольку NFT пока дикий дикий вест, то и авторские права тут часто не работают. Скамеры часто создают “клоны” популярных коллекций, чтобы нажиться на невнимательных юзерах, которые не разбираются в тонкостях NFT и не знают, как чекнуть подлинность токена.

Например, всем известна коллекция BAYC, но если вбить "BAYC" в поиск на OpenSea, то в результатах увидим следующие лоты:

Ни один из этих BAYC не является подлинным и опытный криптан наверняка поймет это из-за слишком низких цен или их полного отсутствия. Но как на счет новичков?

А вот сколько клонов-коллекций популярного фриминта Goblintown. Определите с ходу, какой тру?

Фейковая коллекция может работать не так эффективно как фишинг, но она ничего не стоит скамеру. Он просто заливает “джипег”, очень похожий на известную Обезьяну. Никто же не заставляет вас покупать, владелец вас даже не обманывает: формально название коллекции отличается, да и смарт-контракт всегда проверить можно. Но новички почти никогда этого не делают.

Set approval for all

Фактически это вариация фишинговой атаки. Суть в том, что большинство сайтов требуют подтверждения прав на доступ к вашим активам, чтобы нормально взаимодействовать с кошельком. Но:

Некоторые площадки требуют права на конкретный токен, или токены в конкретной сети или не требуют право на распоряжение, в зависимости от цели взаимодействия.

Некоторые же запрашивают права на полный доступ к активам кошелька с правом распоряжения.

Второй случай как раз используется на фишинговых сайтах и площадках (хотя и не всегда). И как только вы подтверждаете взаимодействие, смарт-контракт просто переводит все ваши NFT и остальные активы на кошелек скамера.

Опасность этого вида скама по сравнению с обычным фишингом в том, что пользователь уже привык к тому, что dApps запрашивают права для взаимодействия и даже не вчитывается в то, что именно он подтверждает.

До недавнего времени на MetaMask эта информация выводилась крайне неудобно, но после серии фишинговых атак кошелек обновился и добавил специальные уведомления для тех случаев, когда смарт-контракт требует полные права доступа к NFT.

Как защитить свои активы?

К счастью высокотехнологичные взломы в NFT бывают намного реже, чем на обычных криптовалютных площадках и сервисах, а все схемы скама построены на невнимательности пользователей. То есть для защиты от них достаточно просто проявить бдительность, поэтому всегда:

Проверяем сайт и анонсы - если вы получили ссылку не из официального источника то сначала проверяем есть ли связанные с ней анонсы в социальных сетях проекта. Если анонсов нет, то не стоит даже переходить по ссылке. В крайнем случае вы можете связаться с саппортом проекта, чтобы перепроверить информацию.

Иногда скамеры могут пользоваться официальными анонсами, чтобы прикрывать фишинговую рассылку. Тогда остается только проверять домен сайта с информацией в анонсе. Проверяйте домен только после перехода на сайт, а не в тексте сообщения или анонса (фейковую ссылку можно зашить в настоящий текстовый адрес сайта).

Проверяем смарт-контракт коллекции или NFT. Смарт-контракт - единственная информация об активе, которую невозможно подделать, то есть единственное, что может подтвердить его подлинность. Чтобы проверить смарт-контракт NFT на OpenSea:

1. В окне токена жмем на Details, а потом на адрес смарт-контракта:

2. В обозревателе блокчейна мы можем увидеть название контракта со ссылкой на вебсайт, а также страницу для трекера токена и ссылку на создателя контракта.

Вот так выглядит смарт-контракт тру BAYC:

А вот это смарт-контракт клона:

Не подтверждаем транзакции, которые требуют полного доступа - окей, иногда это все таки нужно, некоторые легит проекты тоже требуют таких разрешений. Но никогда не стоит подтверждать такие права для малознакомых или непроверенных площадок. MetaMask предупредит вас, если сервис требует полный доступ к активам.

Используем burn wallets то есть “одноразовые кошельки”. Особенно для участия в сомнительных минтах и раффлах. Конечно, вам придется научится управлять десятками кошельков, но это легко сделать при помощи обычной таблицы Excel. А вот этот сервис позволит создавать кошельки буквально пачками.

И не будем забывать о социально инженерии. Фишинговые ссылки и фейковые коллекции могут шилить через инфлюенсеров или же присылать в личные сообщения от имени админов и разработчиков известных проектов. Так что перепроверять нужно буквально ВСЮ входящую информацию, особенно если на кону ваши деньги.