Last Updated on 2023 年 12 月 5 日 by Stephanie

bitssuecredit

在之前的文章中，我們已經教大家如何用 Open Sea 購買自己的 NFT 了，而近期的項目中也出現了許多驚人價格；然而卻也因為市場情緒居高不下、投資人紛紛捧錢進場，因此衍伸出許多 NFT詐騙案例。

今天就要來講述購買 NFT 常見的詐騙，要是買到熱門的 NFT 卻因為資安問題導致資產被盜，那就得不償失啦～

今天將從詐騙發生的時機點、詐騙如何利用平台誘導、裝備的資安安全等進行說明。

⠀虛擬貨幣交易⠀
▸▸▸ 平台推薦 / 手續費優惠◂◂◂
👉⠀點我立即查看⠀👈

▸加入FB社團，新手必看◂
http://bitssue.com/FBgroup
▸加入LINE社群，交流討論◂
http://bitssue.com/LINEgroup
▸加入LINE官方帳號，最新消息◂
https://lin.ee/DqXuHyJ

▎解決方法：

• 將經常使用的網站存在書籤列表上，減少自己誤觸釣魚網站的機率。
• 凡是有關項目方的網址，全部使用值得信任的渠道連結至過去，如善用 OpenSea 上有驗證藍勾勾項目之資訊欄／官方社群公告的網址。
• 將自己操作加密資產與日常使用的電子設施分開，操作加密貨幣的設備儘可能保持乾淨。

2. 帳密儲存

我們平使用的瀏覽器 Chrome 中有個密碼鑰匙圈的功能，雖然方便、可隨時登入帳號，但如果資安意識不足的使用者使用太多相同帳號密碼，一旦某天某個平台被駭，得到授權的駭客便可以得到你存在 Google 鑰匙圈的所有密碼，整體資安風險便會因此提升。

舉例來說，假如自己每個使用的平台帳號密碼都一樣，那某天其中一個平台遭到盜用，有綁定信用卡或私密資料的帳號也剛好在密碼鑰匙圈上時，便極有可能被盜刷或變成詐騙人頭帳戶。

▎解決辦法：

• 儘量不要使用同一組帳號密打天下
• 不要太依賴自動登入功能，尤其是有關資產的帳戶
• 將每個平台的各項登入驗證需求都打開，登入時就多一層防護
• 最安全的方法還是將密碼抄在紙本上並好好保存，不要將自己的帳號密碼放在任何通訊軟體或儲存在網路上。

【 錢包 】

「擁有一個錢包」可以說是進入元宇宙的第一步，錢包就像你在元宇宙裡的身分證或是地址一樣，是認明你這個人的唯一方式。

相信對購買 NFT 有一點概念的人都知道，購買 NFT 需要一個在電腦、手機等設備中能夠連上網路運行的錢包，通常是使用自己的手機作為載具、下載 APP，或是使用電腦加上外掛來使用。我們最常用的 Metamask 狐狸錢包就是其中一種熱錢包。

接下來會講述大家在 mint NFT 最常遇到風險性高的動作：

1. 簽署陌生智能合約

在區塊鏈世界，我們在與項目互動時（如 mint NFT、玩 GameFi）都會需要去簽署合約，讓項目方寫好的智能合約有權力跟你的錢包進行互動，甚至轉移資產。

而當項目方這邊需要授的事項太多時，通常會選擇無限授權；但項目方在合約做了什麼手腳我們不得而知，之後項目方被駭、控制權落入駭客手中也是有可能的，所以在這邊會教學兩種方法，來幫助我們掌握錢包的控制權：

➤ 第一種需要 debank 的幫忙

DeBank 是多合一 DeFi 錢包，可以幫助用戶追蹤 DeFi 應用、管理資產、查找項目、分析風險等。

圖中示範的是以太鏈部署過的合約，可以透過「decline」的這個選項來取消此合約授權；不過需要注意的是，每取消授權一次就會需要一筆瓦斯費用（Gas fee）。

點擊「decline」後，按下確認便會取消授權。

➤ 第二個只需要你自己的 Metamask 錢包

打開 Metamask 錢包點選右上角三個點的圖示，點選「Connected sites」後，會跑出你之前簽署過的合約，最後按下垃圾桶按鈕就好了。

那兩者有什麼差別呢？

差別在於，Debank 的功能像是你在中心化伺服器登入頁刪掉了自己的帳號並登出，而 Metamask 錢包的部分就像將帳號登出、但設定了自動登入，並沒有把合約取消授權；一旦再次打開該項目，項目方就可以再次使用你簽包的授權。

相較之下 Debank 雖然需要 Gas fee，卻可以較安全地保障自己的財產。

2. 釣魚郵件

發生在錢包上最常見的詐騙便是因授權不明項目導致資產被轉移，其次則是駭客利用釣魚郵件將受害者導入假網站，要求受害者連結錢包並提交助記詞，得到助記詞後將資產轉移走。所以再三確認是否是官方寄出的信件、網址非常重要。

Metamask 官方就曾發布推特澄清「去中心化錢包不需要電子郵件認證」。

▎解決辦法：

• 定期清理合約授權清單
• 養成習慣檢查網址、發信者、發訊息者是否為官方，來路不明的網址、按鈕不要點

【 社群軟體 】

在 NFT 的世界中，當我們想要獲取項目相關訊息時，通常都會去 Discord、Telegram、Twitter 等項目方習慣使用的社群軟體追蹤消息，但初期使用常因為不熟悉操作而陷入詐騙陷阱。

Discord 是裡面功能最多的平台，所以以下使用 Discord 介面來示範：

1. 私訊邀群

幣圈中主動私訊你的 99.9% 是詐騙，在 Discord 的也不例外。

尤其是從沒有互動過的帳號丟出的網址，在點擊之後，輕是項目的廣告、重則是惡意網站或者病毒在等待著受害者。

又或者是某個帳號突然私訊跟你說這個項目很好，但大部分都是普通的項目（真正火紅的項目不太會以這種方式宣傳），少數更有可能是立意本就不良善、想利用合約把你錢捲走的項目。

2. 項目方權限被盜、公告假訊息

新項目在初期通常會有公開銷售（public sale）的活動，這時項目方會用各個社交平台來公布銷售活動的注意事項 & 購買網址。有時候就會出現項目方官方帳號被盜、被駭客拿去公佈假網址，使公告出的銷售網址變成釣魚網址的事情發生。

所以一旦你發現 public sale 時間突然提前了等不正常事情發生，都要提高警覺。

不過因為現在 NFT 熱潮下，許多工程師、交易專家都投入這個市場、社群上大神百出，如果你自己無法辨別現在的突發狀況是不是正常的，時時「關注項目方社群中其他玩家的反應」會是不錯的選擇。

▎解決辦法：

• 定期清理合約授權清單
• 養成習慣檢查網址、發信者、發訊息者是否為官方，來路不明的網址、按鈕不要點

【 NFT 平台 】

OpenSea 是全球最大、商品種類最多元的 NFT 交易所，當然也是詐騙做手腳的目標之一；其中最簡單粗暴的就是 – 仿冒一個 NFT 項目，我們稱之為「仿盤」。

要怎麼知道我現在瀏覽的頁面是不是仿盤呢？這時可以在「owners」跟「volume traded」的數字看出端倪。

owners 通常會是總量的 60% 以上，而如果是熱門項目，volume traded 至少要有 50 ETH 以上的交易量才安全（如果低於 50 ETH，即使是正版的項目也代表流動性較差、如果持有後可能賣不太掉，因此也不建議立即買入）。

▎解決辦法：

• 從官方 Discord（社群媒體）連結進入 Opesea 網頁，或詢問頻道的管理員
• 從官方網站連結至 OpenSea 購買頁
• 從官方 Twitter 連結至 OpenSea 購買頁

結語

雖然洋洋灑灑列了一些看起來不小心就會踩到的詐騙陷阱，但其實只要注意幾個原則，依照正常管道來交易還是不會有什麼大問題的。

1. 太便宜的不要貪
2. 來路不明的人不要相信
3. 來路不明的網址、網頁，不要點、不要給資料
4. 永遠不要給出你的錢包助記詞 & 私鑰

做好以上功課，駭客就會遠離我們的錢包。

不過產業變化迅速、詐騙新模式也會推陳出新，如果對項目不熟悉，還是多看、多問，做好準備再下手。單。

－－－必看精選－－－

➢ 全台最大交易所－MAX 詳細操作教學：
【2021新手必看】這樣買最划算！全台最大加密貨幣交易所 MAX－註冊、KYC、交易、出入金教學

➢ 懶人穩健投資術－網格設置教學：
【Pionex 派網】波動越大越賺！7天躺著獲利 19%－網格「天地單」三分鐘設置教學

➢ 全球最大交易所－Binance 幣安詳細操作教學：
【2021全攻略】專業操盤必備！全球最大加密貨幣交易所 Binance 幣安－註冊、KYC、交易教學

學

➢ NFT 新手－OpenSea、Binance 購買圖解教學：
【NFT購買教學】什麼是NFT？新手怎麼買NFT？OpenSea、幣安購買教學

關於 幣修學分 Bitssue Credit

這個世代，投資已經成為年輕人的人生必修。
為了打破幣市投資的知識門檻，兩位區塊鏈產業從業者創立了幣修學分，提供區塊鏈基礎知識、幣市投資要點、重大時事……等投資加密貨幣所需的一切！​

幣修目前為幣圈 Instagram 上追蹤數最高的自媒體，另有經營同名 Facebook、官方網站、YouTube，在創立兩個月時便受邀與產業內多家知名企業，如幣安、MaiCoin、幣託、派網等合作。
我們每月都會舉辦新手教學班及投資進階課程，目前合計已舉辦近三十場課程，並受邀參與超過六場校園演講 ＆ 企業內訓。

如果你想投資幣圈，立即追蹤起來～時時掌握消息、做出正確投資判斷！
>>​幣修學分的 IG : bitssue_credit｜幣修學分的 FB : 幣修學分
有校園演講、演講邀約、企業內訓、品牌顧問、品牌露出、產品推廣、設計外包等需求，歡迎寄信至 [email protected]。

NFT 詐騙怎麼發生的？

我們在進行得到、研究 NFT 的過程時，可能會需要電腦、錢包、社群軟體、NFT 平台。
而不管在哪裡動手腳、用何種形式包裝，駭客轉走你錢包的方法只有兩種：
❶ 將註記詞或私鑰偷走
❷ 將錢轉入駭客錢包的動作偽裝成合約交互

文內將說明各個設施 / 平台上常見的詐騙手法。

NFT 詐騙發生的環節 & 類型

【 電腦 】
在網路世界，操控設備的每個環節都可能會出現陷阱。在電腦上可能造成資安風險的行為有：❶ 網站授權 ❷ 帳密儲存

【 錢包 】
購買 NFT 需要一個在電腦、手機等設備中能夠連上網路運行的熱錢包，大家常用的 Metamask 狐狸錢包就是其中一種熱錢包。Mint NFT 時發生在錢包上風險性高的動作有：❶ 簽署陌生智能合約 ❷ 釣魚郵件

【 社群軟體 】
當我們想要獲取項目相關訊息時，通常都會去 Discord、Telegram、Twitter 等項目方習慣使用的社群軟體追蹤消息，Discord 是裡面功能最多的平台，常發生在 Discord 上的詐騙有：❶ 私訊邀群 ❷ 項目方權限被盜、公告假訊息

【 NFT 平台 】
OpenSea 是全球最大、商品種類最多元的 NFT 交易所，當然也是詐騙做手腳的目標之一；其中最簡單粗暴的就是 – 仿冒一個 NFT 項目，我們稱之為「仿盤」。

文中將講解各個詐騙的預防方式。

立即分享此文：

• Facebook
• Telegram