如何避免 NFT 拉動和常見的網絡釣魚詐騙？

了解 NFT 地毯拉力機制

1. 當開發商在從買家那裡收集流動性後放棄項目時，通常會通過從智能合約中刪除資金或禁用交易功能來放棄項目，從而發生拉動。

2. 許多地毯拉動依賴於虛假的銷量指標、虛高的底價以及操縱二級市場的列表來創造人為的需求。

3. 部署在以太坊或 Solana 上的合約可能包含隱藏功能，允許創建者在未經用戶同意的情況下鑄造無限的代幣或耗盡錢包。

4. 匿名團隊經常通過空殼實體或無法驗證的社交媒體賬戶來掩蓋所有權，使得問責幾乎不可能。

5. 一些項目部署“蜜罐”合約，用戶可以購買但不能出售，無限期地捕獲資產而沒有鏈上追索權。

項目啟動中的危險信號

1. 缺乏來自 CertiK 或 OpenZeppelin 等知名公司的經過驗證的審計報告，表明惡意代碼的風險較高。

2. 會員數量被機器人誇大的 Discord 服務器和腳本化的歡迎信息往往掩蓋了低有機參與度​​。

3. 路線圖充滿了模糊的里程碑——例如“社區發展”或“合作夥伴公告”——沒有技術細節會引起懷疑。

4. 將超過 70% 的供應量分配給私人錢包或團隊地址的代幣經濟學表明，發行後存在潛在的傾銷壓力。

5. 不尋常的元數據託管模式，例如指向非公共網關或可變端點的 IPFS 鏈接，表明未來可能存在圖像或描述篡改。

針對錢包用戶的網絡釣魚策略

1. 模仿交易確認的虛假 MetaMask 彈出窗口誘騙用戶簽署偽裝成標準批准的惡意負載。

2. 使用經過驗證的複選標記冒充 Twitter 帳戶（通常通過受損的支持渠道購買），廣播虛假空投鏈接。

3. 去中心化域名上的 DNS 劫持會將用戶重定向到旨在獲取種子短語的偽造 OpenSea 或 Blur 界面。

4. 偽裝成錢包連接器的惡意瀏覽器擴展默默地註入跟踪腳本並攔截簽名請求。

5. Telegram 群組圖像中嵌入的二維碼詐騙會重定向到網絡釣魚 dApp，這些 dApp 請求完全錢包訪問而不是有限權限。

鏈上盡職調查實踐

1. 在 Etherscan 或 Solscan 上驗證合約創建交易，以確認部署與官方項目公告相符。

2. 使用 RugDoc 所有權分析器等工具檢查放棄的所有權，以確保沒有管理密鑰保持活動狀態。

3. 追踪 Uniswap 或 Raydium 上的流動性池存款，以識別突然提款或單一地址集中持有代幣的情況。

4. 將區塊鏈瀏覽器中的錢包標籤與 Immunefi 或 Chainabuse 維護的已知詐騙地址數據庫進行交叉引用。

5. 通過 Dune Analytics 儀表板監控實時轉賬活動，跟踪異常鑄幣峰值或批量轉賬到集中交易所存款地址。

常見問題解答

問：我可以追回地毯拉動中損失的資金嗎？一旦資產被轉移到模糊的出口地址或通過隱私協議混合，恢復就極其罕見。

問：經過審計的合同總是安全的嗎？不會。審核會在某個時間點驗證代碼邏輯，但不能保證持續的完整性，特別是在可升級代理保留管理控制的情況下。

問：為什麼釣魚網站看起來與合法網站相同？攻擊者使用精確的 CSS 複製、網站圖標克隆和子域欺騙（例如 opensea-verify[.]com）來繞過視覺識別線索。

問：啟用雙因素身份驗證是否可以防止錢包洩露？ 2FA 不提供針對基於簽名的攻擊的保護，因為私鑰駐留在本地並且批准發生在客戶端而無需服務器交互。