Hệ sinh thái tiền điện tử đã nhanh chóng mở rộng trong những năm gần đây, với NFT (“mã thông báo không thể thay thế”) nổi lên từ một công nghệ thích hợp trở thành thị trường đang bùng nổ cho các bộ sưu tập kỹ thuật số, trao quyền và dân chủ hóa nền kinh tế sáng tạo. Từ Bored Apes đến NBA Top Shot, NTF không chỉ thể hiện khả năng sử dụng chính thống công nghệ blockchain mà còn thể hiện một kỷ nguyên mới cho những người sáng tạo trong không gian kỹ thuật số, bao trùm nghệ thuật, âm nhạc và thể thao.
Nhưng cùng với sự gia tăng của NFT là nguy cơ gian lận, lừa đảo và trộm cắp các bộ sưu tập kỹ thuật số.
Cách tốt nhất để bảo vệ bạn khỏi những kiểu lừa đảo này là học cách phát hiện chúng và sau đó tránh thật xa. Đó là lý do tại sao chúng tôi tạo ra hướng dẫn này.
Vậy một số mối đe dọa phổ biến là gì? Trong báo cáo này, chúng ta sẽ xem xét:
– Lừa đảo
– Giả mạo dự án
– Thoát khỏi các trò lừa đảo hoặc “kéo thảm” (rug pulls)
– “Dust attacks”
Lừa đảo
Lừa đảo là một trong những trò lừa đảo phổ biến nhất. Điều này xảy ra khi kẻ tấn công gửi liên kết độc hại trên nhiều ứng dụng và nền tảng khác nhau, bao gồm Discord, Telegram, Whatsapp, Facebook và Instagram. Liên kết này thường đưa nạn nhân đến một trang khai thác NFT giả mạo, trang này chứa hợp đồng thông minh có thể cho phép kẻ lừa đảo rút ví của nạn nhân nếu được ký. Kiểu lừa đảo này có nhiều biến thể, bao gồm cả trường hợp Discord chính thức của dự án NFT bị xâm phạm, cho phép kẻ khai thác sử dụng kênh chính thức để phát liên kết độc hại của chúng.
Lừa đảo Discord phát sinh khi tin tặc giành được quyền truy cập của quản trị viên vào máy chủ (như được mô tả ở trên) hoặc bởi các thành viên gửi tin nhắn trực tiếp của cộng đồng Discord. Trong các trường hợp khác, những kẻ lừa đảo sẽ mua các tên miền có vẻ ngoài xác thực, bao gồm cả địa chỉ ENS và chạy các chiến dịch quảng cáo trả phí tìm kiếm trên Google để hướng lưu lượng truy cập đến một URL giả có chứa hợp đồng thông minh độc hại. Trong mọi trường hợp, mục tiêu của cuộc tấn công lừa đảo là thuyết phục nạn nhân không nghi ngờ rằng liên kết độc hại giả mạo là liên kết có thật.
Cách tránh: Không bao giờ nhấp vào các liên kết, tệp đính kèm hoặc cửa sổ bật lên đáng ngờ. Luôn xác minh tên miền URL, địa chỉ email và tên miền mạng xã hội để đảm bảo tính xác thực. Hãy cảnh giác với các quảng cáo giả mạo và các địa chỉ email lừa đảo có mục đích hỗ trợ khách hàng. Không chia sẻ cụm từ khôi phục ví, thông tin xác thực hoặc khóa riêng của bạn với bất kỳ ai. Sử dụng mật khẩu mạnh và kích hoạt xác minh hai yếu tố.
Giả mạo dự án
Những kẻ lừa đảo được biết là đã tạo ra các trang web giả mạo giống như các thị trường NFT phổ biến hoặc các trang web đúc tiền, với mục đích trở thành trang chủ chính thức của một dự án hợp pháp, với hy vọng khiến người dùng nhầm lẫn khi mua chúng. OpenSea gần đây cho biết hơn 80% các bộ sưu tập được tạo bằng hợp đồng cửa hàng chung của họ là bộ sưu tập giả mạo hoặc thư rác.
Cách tránh: Luôn xác nhận các tài khoản, danh tính và URL trang web đã được xác minh của thị trường NFT. Tìm dấu kiểm xác minh trên tài khoản mạng xã hội và tài khoản Discord của người bán. Nếu bạn vẫn còn nghi ngờ, hãy liên hệ với nghệ sĩ hoặc người bán trên mạng xã hội để xác nhận tính xác thực của một giao dịch tiềm năng. Đừng vội mua NFT cho đến khi bạn xác nhận nó là hàng thật.
Thoát khỏi các trò gian lận (còn được gọi là “kéo thảm”)
Kéo thảm nổi tiếng trong không gian NFT và thường được gọi bằng thuật ngữ “rug”. Đây là những trò lừa đảo trong đó người sáng lập dự án tiếp thị và quảng bá cho dự án mà không có ý định phát triển các mục tiêu thành hiện thực. Cuối cùng, những kẻ lừa đảo gây quỹ, thường thông qua đúc NFT và lấy tiền (hay còn gọi là “kéo thảm”) mà không có bất kỳ nỗ lực nào để phát triển dự án.
Câu lạc bộ khỉ Big Daddy là một ví dụ gần đây. Các nhà phát triển đã huy động được hơn 9.000 SOL trước khi từ bỏ dự án. Bản chất ẩn danh của các nhà phát triển blockchain, cùng với các giao dịch không thể đảo ngược, tạo ra động lực mạnh mẽ cho những kẻ lừa đảo cố gắng trốn thoát khỏi hành vi trộm cắp. Lừa đảo cũng có thể rất tinh vi – thay vì từ bỏ dự án ngay lập tức, các nhà phát triển sẽ “di chuyển mục tiêu” xung quanh những kỳ vọng về những gì sẽ được thực hiện với số tiền huy động được.
Nhìn chung có ba giai đoạn đối với những trò gian lận này:
Trong giai đoạn đầu tiên, các nhà phát triển sẽ huy động tiền thông qua việc đúc tiền NFT, hứa hẹn sẽ hoàn thành nhiều mục tiêu khác nhau mà không có ý định làm như vậy.
Trong giai đoạn thứ hai, các nhà phát triển thường thay đổi các mốc thời gian và các sáng kiến cốt lõi của dự án, làm bất cứ điều gì có thể thúc đẩy các cột mốc quan trọng và kéo dài tiến độ của dự án ngày càng xa hơn.
Trong giai đoạn ba, khi sự quan tâm ban đầu đối với dự án giảm xuống, số tiền huy động được trong giai đoạn một sẽ được chuyển vào ví cá nhân, thường sử dụng máy trộn để làm xáo trộn số tiền bị đánh cắp.
Cách tránh: Nghiên cứu nền tảng của các nhóm đằng sau các dự án NFT trên các nền tảng truyền thông xã hội như Linkedin và Twitter. Ngay cả các nghệ sĩ và nhà phát triển ẩn danh cũng có thể được cộng đồng tiền điện tử biết đến và tin cậy, nhưng điều quan trọng là phải xem xét chặt chẽ số lượng người theo dõi và mức độ tương tác trên mạng xã hội. Kiểm tra lộ trình của dự án và xem xét liệu nó có thực tế hay không. Nếu có thể, hãy tận dụng trí tuệ của đám đông bằng cách xem những người kỳ cựu trong cộng đồng NFT nghĩ gì về dự án và liệu nó có nhận được bất kỳ sự chứng thực đáng chú ý nào có thể kiểm chứng được từ các cá nhân hoặc tổ chức hay không.
Dust attacks
Một cuộc tấn công xảy ra khi nạn nhân tạo ra một NFT hợp pháp, nhưng sau đó tìm thấy một NFT mới, ngẫu nhiên trong ví của họ. Nếu nạn nhân tương tác với NFT không xác định này, bao gồm cả việc niêm yết nó để bán, họ có thể đăng ký một hợp đồng thông minh dẫn đến việc ví của họ bị thất thoát tiền. Thật không may, trò lừa đảo này không chỉ xảy ra với những người phát triển dự án NFT mà những kẻ xấu cũng gửi NFT độc hại đến các ví ngẫu nhiên với hy vọng khiến người dùng mới không hề hay biết.
Làm sao để tránh: Theo dõi ví của bạn càng nhiều càng tốt. Nếu bạn tìm thấy một NFT không xác định trong ví của mình, đừng tương tác với nó dưới bất kỳ hình thức nào.
Nguồn: Coinbase