การหลอกลวง NFT: วิธีสังเกตและหลีกเลี่ยง

ตลาด NFT ได้สร้างโอกาสอันยิ่งใหญ่สำหรับนักสะสม ศิลปิน และนักลงทุน แต่ในขณะเดียวกันก็ดึงดูดคลื่นของการฉ้อโกงที่สร้างความเสียหายให้กับชุมชนเป็นมูลค่าหลายร้อยล้านดอลลาร์ต่อปี ตั้งแต่เว็บไซต์ฟิชชิงที่เลียนแบบ OpenSea ได้อย่างสมบูรณ์แบบ ไปจนถึงบอท Discord ที่สัญญา airdrop สุดพิเศษ นักต้มตุ๋นมีความซับซ้อนมากขึ้นเรื่อยๆ การเข้าใจวิธีการทำงานของการโจมตีเหล่านี้คือแนวป้องกันแรกสำหรับทุกคนที่มีส่วนร่วมในระบบนิเวศ NFT บน Ethereum, TON, Solana หรือบล็อกเชนอื่นๆ

ประเภทการหลอกลวง NFT ที่พบบ่อย

เว็บไซต์ฟิชชิงและตลาดปลอม

ฟิชชิงเป็นรูปแบบการฉ้อโกง NFT ที่แพร่หลายที่สุด ผู้โจมตีจดทะเบียนโดเมนที่ดูเกือบเหมือนกับแพลตฟอร์มที่ถูกต้อง เช่น "0pensea.io" หรือ "opensea-nft.com" แล้วเติมเนื้อหาด้วยสำเนาอินเทอร์เฟซของตลาดจริงที่น่าเชื่อถือ เมื่อคุณเชื่อมต่อกระเป๋าเงินและลงนามในธุรกรรมบนเว็บไซต์เหล่านี้ คุณอาจกำลังอนุมัติการโอนสินทรัพย์ทั้งหมดของคุณไปยังที่อยู่ของผู้โจมตี

เว็บไซต์ปลอมเหล่านี้มักปรากฏอยู่ด้านบนของผลการค้นหาผ่านการโฆษณาแบบเสียเงิน ควรนำทางไปยังตลาดซื้อขายโดยพิมพ์ URL โดยตรงหรือใช้บุ๊กมาร์กที่ตรวจสอบแล้ว ไม่ใช่คลิกลิงก์ที่สนับสนุนในผลการค้นหาหรือลิงก์ใน DM

การ Airdrop ปลอมและการมินต์หลอกลวง

นักต้มตุ๋นมักประกาศ airdrop NFT "พิเศษ" ผ่านโซเชียลมีเดีย อีเมล หรือช่องทางชุมชน เพื่อรับ NFT ฟรี คุณจะถูกขอให้เชื่อมต่อกระเป๋าเงินและลงนามในธุรกรรม อย่างไรก็ตาม ลายเซ็นนั้นอนุมัติการโอน NFT หรือโทเค็นที่มีอยู่ของคุณออกไป ไม่ใช่การรับอันใหม่ บางรูปแบบส่ง NFT ที่ไม่ได้ร้องขอไปยังกระเป๋าเงินของคุณก่อน และเมื่อคุณพยายามดูหรือขายมันบนตลาด การโต้ตอบนั้นจะเรียกใช้สัญญาที่เป็นอันตราย

NFT ที่ไม่ได้ร้องขอซึ่งปรากฏในกระเป๋าเงินของคุณโดยไม่มีคำอธิบายควรถือว่าน่าสงสัย อย่าโต้ตอบกับมันโดยตรงในกระเป๋าเงินหลักของคุณ

Rug Pull

Rug pull เกิดขึ้นเมื่อทีมโครงการระดมทุนผ่านการขาย NFT สร้างกระแสและความไว้วางใจจากชุมชนในช่วงแรก แล้วทิ้งโครงการอย่างกะทันหันและหนีไพ่กับเงินที่ได้มา สัญญาณเตือนมักมีให้เห็นล่วงหน้า ได้แก่ ทีมงานนิรนามที่ไม่มีประวัติที่ตรวจสอบได้ แผนงานที่คลุมเครือเต็มไปด้วยคำศัพท์ทันสมัยแต่ขาดรายละเอียดทางเทคนิค และจำนวนสมาชิก Discord ที่ถูกปั่นขึ้นอย่างเทียมๆ

Rug pull ที่มีชื่อเสียงทำให้นักต้มตุ๋นได้เงินหลายล้านดอลลาร์ ตัวอย่างเช่น โครงการ Frosties ระดมทุนได้ประมาณ 1.3 ล้านดอลลาร์จากผู้ซื้อก่อนที่ผู้สร้างจะหายตัวไปในคืนเดียว การตรวจสอบทีมงานที่อยู่เบื้องหลังโครงการใดๆ ยังคงเป็นสิ่งสำคัญก่อนที่จะลงทุน

NFT ปลอมและการแอบอ้างคอลเลกชัน

การสร้างคอลเลกชัน NFT ปลอมที่เลียนแบบคอลเลกชันที่มีชื่อเสียงนั้นง่ายมากบนบล็อกเชนใดๆ นักต้มตุ๋นมินต์โทเค็นที่มีงานศิลปะที่เหมือนกันหรือเกือบเหมือนกันและชื่อที่ทำให้เข้าใจผิด แล้วขายในตลาดมือสองให้กับผู้ซื้อที่ไม่สงสัยซึ่งเชื่อว่าตนกำลังซื้อของแท้จากคอลเลกชัน blue-chip เสมอตรวจสอบที่อยู่สัญญาอย่างเป็นทางการก่อนซื้อ สำหรับ NFT บน Ethereum ให้ตรวจสอบข้ามที่ Etherscan สำหรับ Solana ใช้ Solscan สำหรับ NFT บน TON ให้ปรึกษา เอกสาร TON และหน้าคอลเลกชันอย่างเป็นทางการ

วิศวกรรมสังคมบน Discord และ X (Twitter)

ชุมชน NFT รวมตัวกันบน Discord และ X ทำให้เป็นแหล่งล่าสัตว์ที่ดีเยี่ยมสำหรับวิศวกรสังคม กลยุทธ์ทั่วไปได้แก่ การแอบอ้างเป็นผู้ดูแลโครงการหรือสมาชิกทีมในข้อความส่วนตัว การสร้างช่องทางสนับสนุนปลอมที่ "เจ้าหน้าที่" ขอข้อมูลกระเป๋าเงินหรือ seed phrase และการแฮ็กบัญชีโครงการจริงเพื่อโพสต์ลิงก์มินต์หลอกลวง ในปี 2022 บัญชี Instagram ของ Bored Ape Yacht Club ถูกแฮ็กและใช้เพื่อโพสต์ลิงก์ฟิชชิงที่ดูดทรัพย์สินประมาณ 2.8 ล้านดอลลาร์ภายในเวลาไม่กี่ชั่วโมง

จำไว้: ไม่มีโครงการที่ถูกต้องใดจะขอ seed phrase ของคุณ ผู้ดูแลไม่ส่ง DM ที่ไม่ได้ร้องขอเพื่อเสนอความช่วยเหลือเกี่ยวกับปัญหากระเป๋าเงิน

สัญญาณเตือนที่ต้องระวัง

คำสัญญาที่ไม่สมจริง หากโครงการรับประกันผลตอบแทนที่แน่นอน อ้างว่าผู้ถือทุกคนจะได้รับ Lamborghini หรือเสนอ NFT ในราคาต่ำกว่าราคาตลาดสำหรับคอลเลกชัน blue-chip มาก ให้ปฏิบัติต่อสิ่งนั้นด้วยความสงสัยอย่างยิ่ง โครงการที่ถูกต้องให้ผลงานพูดแทนตัวเอง

ความเร่งด่วนที่ถูกสร้างขึ้น "มินต์ปิดใน 10 นาที!" หรือ "เหลือแค่ 5 ที่!" เป็นกลยุทธ์กดดันที่ออกแบบมาเพื่อป้องกันไม่ให้คุณตรวจสอบอย่างรอบคอบ นักต้มตุ๋นพึ่งพาการตัดสินใจที่รีบร้อน จงใช้เวลาที่คุณต้องการ

ที่อยู่สัญญาที่ไม่ได้ตรวจสอบ ก่อนโต้ตอบกับหน้ามินต์ใดๆ ให้ตรวจสอบว่าที่อยู่สัญญาที่แสดงตรงกับที่เผยแพร่บนเว็บไซต์อย่างเป็นทางการและโซเชียลมีเดียของโครงการ ความไม่ตรงกันคือสัญญาณเตือนภัยทันที

ข้อความส่วนตัวที่น่าสงสัย การรับ DM จากคนที่อ้างว่าเป็นผู้ก่อตั้งโครงการ ผู้ดูแล หรือแม้แต่เพื่อนที่เสนอดีลพิเศษเป็นเทคนิควิศวกรรมสังคมแบบดั้งเดิม ตรวจสอบการอ้างใดๆ ผ่านช่องทางอย่างเป็นทางการก่อนดำเนินการ

เว็บไซต์ลอกเลียนและ URL ที่แตกต่างเล็กน้อย เว็บไซต์หลอกลวงมักแตกต่างจากของจริงเพียงตัวอักษรเดียว ตัวอักษรสลับ หรือคำเพิ่มเติม ตรวจสอบ URL แบบเต็มในแถบที่อยู่ของเบราว์เซอร์อย่างระมัดระวัง

วิธีปกป้องกระเป๋าเงินและคอลเลกชันของคุณ

ใช้กระเป๋าเงินฮาร์ดแวร์สำหรับ NFT ที่มีมูลค่า

กระเป๋าเงินฮาร์ดแวร์ (เช่น Ledger หรือ Trezor) เก็บคีย์ส่วนตัวของคุณไว้แบบออฟไลน์ ทำให้เว็บไซต์ฟิชชิงหรือสัญญาที่เป็นอันตรายไม่สามารถดูดสินทรัพย์ของคุณได้โดยไม่มีการกดปุ่มบนอุปกรณ์จริง NFT ที่มีมูลค่าสูงไม่ควรจัดเก็บไว้ในกระเป๋าเงินร้อนที่เชื่อมต่ออินเทอร์เน็ตตลอดเวลา ลองพิจารณากระเป๋าเงิน "vault" เฉพาะที่คุณเชื่อมต่อเฉพาะเมื่อจำเป็น

ตรวจสอบที่อยู่สัญญาก่อนทุกการโต้ตอบ

บุ๊กมาร์กหน้าคอลเลกชันอย่างเป็นทางการบน OpenSea และตลาดอื่นๆ ตรวจสอบที่อยู่สัญญากับเว็บไซต์อย่างเป็นทางการของโครงการและบัญชีโซเชียลมีเดียที่ได้รับการตรวจสอบ สำหรับ Ethereum ดูรายละเอียดสัญญาและประวัติธุรกรรมบน Etherscan ขั้นตอนนี้ใช้เวลาสามสิบวินาทีและสามารถช่วยคอลเลกชันทั้งหมดของคุณได้

ใช้เฉพาะลิงก์อย่างเป็นทางการ

พิมพ์ URL โดยตรงในเบราว์เซอร์หรือรักษาบุ๊กมาร์กที่ตรวจสอบแล้ว อย่าคลิกลิงก์จาก DM อีเมล หรือผลการค้นหาที่สนับสนุนเมื่อเกี่ยวกับกระเป๋าเงินของคุณ เมื่อโครงการประกาศมินต์ ให้นำทางผ่านโปรไฟล์ Twitter/X อย่างเป็นทางการ ไม่ใช่ผ่านลิงก์ที่มีคนแชร์ในช่อง Discord

เพิกถอนการอนุมัติโทเค็นเป็นประจำ

ทุกครั้งที่คุณโต้ตอบกับตลาดหรือ dApp คุณอาจให้สิทธิ์ใช้โทเค็นหรือโอน NFT ของคุณ การอนุมัติเหล่านี้มีผลตลอดไปจนกว่าจะเพิกถอน ตรวจสอบและเพิกถอนการอนุมัติที่ไม่จำเป็นเป็นระยะโดยใช้เครื่องมือเช่น Revoke.cash สำหรับ Ethereum การเพิกถอนการอนุมัติสำหรับสัญญาที่คุณไม่ใช้อีกต่อไปจะลดพื้นที่การโจมตีได้อย่างมาก

แยกกระเป๋าเงินตามระดับความเสี่ยง

รักษากระเป๋าเงินอย่างน้อยสองใบ: กระเป๋าเงิน "ร้อน" สำหรับการโต้ตอบและมินต์ประจำวัน (เติมเงินเฉพาะจำนวนที่คุณยินดีสูญเสีย) และกระเป๋าเงิน "เย็น" สำหรับเก็บสินทรัพย์ระยะยาวที่มีมูลค่า อย่าเชื่อมต่อกระเป๋าเงินเย็นกับ dApp ที่ไม่คุ้นเคย การแยกนี้จำกัดความเสียหายหากเกิดอะไรผิดปกติ

ต้องทำอะไรหากคุณตกเป็นเป้าหมาย

ดำเนินการทันทีเพื่อเพิกถอนสิทธิ์ หากคุณลงนามในธุรกรรมที่น่าสงสัย ให้ไปที่ Revoke.cash หรือเครื่องมือที่เทียบเท่าและเพิกถอนการอนุมัติทั้งหมดที่เกี่ยวข้องกับสัญญาที่เป็นอันตรายก่อนที่สินทรัพย์เพิ่มเติมจะถูกดูด ความเร็วมีความสำคัญ — สัญญา drainer บางตัวเป็นแบบอัตโนมัติและจะกวาดสินทรัพย์ภายในไม่กี่วินาที

ย้ายสินทรัพย์ที่เหลือไปยังกระเป๋าเงินใหม่ หากกระเป๋าเงินของคุณถูกบุกรุก ให้โอน NFT และโทเค็นที่เหลืออยู่ไปยังที่อยู่กระเป๋าเงินใหม่ที่ไม่เคยถูกเปิดเผย ทำสิ่งนี้จากอุปกรณ์ที่สะอาดด้วย — หากคุณคลิกลิงก์ที่เป็นอันตราย ให้ตรวจสอบไวรัสก่อนดำเนินการต่อ

รายงานไปยังตลาด รายงานคอลเลกชันหลอกลวงหรือบัญชีที่ถูกบุกรุกไปยังแพลตฟอร์มเช่น OpenSea, Magic Eden และ Getgems ตลาดหลักส่วนใหญ่มีกระบวนการในการทำเครื่องหมายและนำคอลเลกชันปลอมออก

เตือนชุมชน โพสต์รายงานที่ชัดเจนและเป็นข้อเท็จจริงเกี่ยวกับสิ่งที่เกิดขึ้นในเซิร์ฟเวอร์ Discord ที่เกี่ยวข้อง subreddit และในเธรด X รวมถึงที่อยู่สัญญาการหลอกลวง โดเมน หรือที่อยู่กระเป๋าเงินของผู้โจมตี คำเตือนจากชุมชนมีผลกระทบจริงและมักป้องกันผู้ใช้รายอื่นจำนวนมากจากการตกเป็นเหยื่อของแผนเดียวกัน

สรุป

การหลอกลวง NFT เจริญรุ่งเรืองด้วยความตื่นเต้น ความเร่งด่วน และความไม่เท่าเทียมกันของข้อมูล การป้องกันที่ดีที่สุดคือการรวมกันของมาตรการทางเทคนิค เช่น กระเป๋าเงินฮาร์ดแวร์ การเพิกถอนการอนุมัติเป็นประจำ การแยกกระเป๋าเงินตามระดับความเสี่ยง และความสงสัยต่อทุกสิ่งที่สัญญาผลกำไรง่ายหรือสร้างแรงกดดันให้ดำเนินการโดยไม่คิด

ระบบนิเวศ NFT บน Ethereum, TON, Solana และอื่นๆ เสนอโอกาสที่น่าตื่นเต้นอย่างแท้จริงสำหรับนักสะสมและผู้สร้าง การปกป้องการมีส่วนร่วมของคุณในระบบนิเวศนั้นหมายถึงการปฏิบัติต่อความปลอดภัยเป็นการปฏิบัติต่อเนื่อง ไม่ใช่การตั้งค่าครั้งเดียว บุ๊กมาร์กเครื่องมือตรวจสอบ ตรวจสอบก่อนลงนาม และจำไว้ว่าไม่มีโครงการที่ถูกต้องใดจะขอ seed phrase ของคุณ