如何避免 NFT 拉动和常见的网络钓鱼诈骗？

了解 NFT 地毯拉力机制

1. 当开发商在从买家那里收集流动性后放弃项目时，通常会通过从智能合约中删除资金或禁用交易功能来放弃项目，从而发生拉动。

2. 许多地毯拉动依赖于虚假的销量指标、虚高的底价以及操纵二级市场的列表来创造人为的需求。

3. 部署在以太坊或 Solana 上的合约可能包含隐藏功能，允许创建者在未经用户同意的情况下铸造无限的代币或耗尽钱包。

4. 匿名团队经常通过空壳实体或无法验证的社交媒体账户来掩盖所有权，使得问责几乎不可能。

5. 一些项目部署“蜜罐”合约，用户可以购买但不能出售，无限期地捕获资产而没有链上追索权。

项目启动中的危险信号

1. 缺乏来自 CertiK 或 OpenZeppelin 等知名公司的经过验证的审计报告，表明恶意代码的风险较高。

2. 会员数量被机器人夸大的 Discord 服务器和脚本化的欢迎信息往往掩盖了低有机参与度​​。

3. 路线图充满了模糊的里程碑——例如“社区发展”或“合作伙伴公告”——没有技术细节会引起怀疑。

4. 将超过 70% 的供应量分配给私人钱包或团队地址的代币经济学表明，发行后存在潜在的倾销压力。

5. 不寻常的元数据托管模式，例如指向非公共网关或可变端点的 IPFS 链接，表明未来可能存在图像或描述篡改。

针对钱包用户的网络钓鱼策略

1. 模仿交易确认的虚假 MetaMask 弹出窗口诱骗用户签署伪装成标准批准的恶意负载。

2. 使用经过验证的复选标记冒充 Twitter 帐户（通常通过受损的支持渠道购买），广播虚假空投链接。

3. 去中心化域名上的 DNS 劫持会将用户重定向到旨在获取种子短语的伪造 OpenSea 或 Blur 界面。

4. 伪装成钱包连接器的恶意浏览器扩展默默地注入跟踪脚本并拦截签名请求。

5. Telegram 群组图像中嵌入的二维码诈骗会重定向到网络钓鱼 dApp，这些 dApp 请求完全钱包访问而不是有限权限。

链上尽职调查实践

1. 在 Etherscan 或 Solscan 上验证合约创建交易，以确认部署与官方项目公告相符。

2. 使用 RugDoc 所有权分析器等工具检查放弃的所有权，以确保没有管理密钥保持活动状态。

3. 追踪 Uniswap 或 Raydium 上的流动性池存款，以识别突然提款或单一地址集中持有代币的情况。

4. 将区块链浏览器中的钱包标签与 Immunefi 或 Chainabuse 维护的已知诈骗地址数据库进行交叉引用。

5. 通过 Dune Analytics 仪表板监控实时转账活动，跟踪异常铸币峰值或批量转账到集中交易所存款地址。

常见问题解答

问：我可以追回地毯拉动中损失的资金吗？一旦资产被转移到模糊的出口地址或通过隐私协议混合，恢复就极其罕见。

问：经过审计的合同总是安全的吗？不会。审核会在某个时间点验证代码逻辑，但不能保证持续的完整性，特别是在可升级代理保留管理控制的情况下。

问：为什么钓鱼网站看起来与合法网站相同？攻击者使用精确的 CSS 复制、网站图标克隆和子域欺骗（例如 opensea-verify[.]com）来绕过视觉识别线索。

问：启用双因素身份验证是否可以防止钱包泄露？ 2FA 不提供针对基于签名的攻击的保护，因为私钥驻留在本地并且批准发生在客户端而无需服务器交互。