NFT 防钓鱼指北：如何选择一款防钓鱼插件

查找币:余老师 | 漏洞披露 | 2026-05-09 22:48 | 2 次浏览 | 0 条回复

查找币漏洞披露安全研究 Web3安全区块链安全

## NFT 防钓鱼指北：如何选择一款防钓鱼插件本文由查找币安全团队基于安全研究整理发布，旨在分享Web3安全技术，帮助用户提高安全意识。 --- By: 山 “我不需要知道 Jerry 是谁，在网络上做生意，你相信的就是网络上的小面板，剥掉面板，你就知道这玩意实际上有多脆弱，而事实上在那网站后面操作的真人，他们才是你需要信任的人。“ ——《别相信任何人：虚拟货币悬案》 NFT 背景 2008 年 11 月 1 日，中本聪提出比特币（Bitcoin）的概念，2009 年 1 月 3 日，比特币正式诞生，而后随着全球数字经济加速发展，加密资产等概念爆热，2012 年第一个类似 NFT 的通证 Colored Coin（彩色币）诞生。彩色币由小面额的比特币组成，最小单位为一聪（比特币的最小单位）。随着技术的持续发展，时间一转来到 2021 年，NFT 迎来了爆发性增长，逐步成为市场最热的投资风向标之一。艺术家 Beeple 的 NFT 作品《Everydays:The First 5000 Days》在佳士得官网上以 69,346,250 美元成交，虚拟游戏平台 Sandbox 上的一块虚拟土地以 430 万美元售出……随着水涨船高，层出不穷的高价项目持续刺激着人们的神经。然后在高价光环之下，NFT 也渐渐进入了犯罪分子的视野，从此开启了针对 NFT 的疯狂钓鱼、盗窃等行动。 NFT 现状引言这段话出自 Netflix 的自制纪录片《别相信任何人：虚拟货币悬案》，故事讲述加拿大最大加密货币交易所 QuadrigaCX 首席执行官格里·科滕离奇死亡后，他将 2.5 亿美元客户资金密码也带进了坟墓。大量惊恐的投资者拒绝接受官方的说法，他们认为格里的“死亡”具有“金蝉脱壳”的所有特征：他还活着，已经带着投资者的钱跑路了！其实 QuadrigaCX 的故事只是 Web3 世界的冰山一角，而我们今天要聊的 NFT 世界里，被盗几乎每天都在上演，列举几个知名案例： 2021 年 2 月 21 日，OpenSea 用户遭到 personal_sign 类型网络钓鱼攻击，有 32 位用户签署了来自攻击者的恶意交易，导致用户部分 NFT 被盗，包括 BAYC、Azuki 等近百个 NFT，按当时价格计算，黑客获利 420 万美元； 2022 年 4 月 29 日，周杰伦持有价值 320 万元的无聊猿 NFT 被盗； 2022 年 5 月 25 日，推特用户 @0xLosingMoney 称监测到 ID 为 @Dvincent_ 的用户通过发布钓鱼网站 p2peers[.]io 盗走了 29 枚 Moonbirds 系列 NFT，价值超 70 万美元； 2022 年 6 月 28 日，Web3 项目 Metabergs 创作者 Nickydooodles.eth 发推称，黑客使用钓鱼手段攻击了他的钱包，损失了 17 枚 ETH（约合 21,077 美元）和全部 NFT 藏品，包括 Goblintown NFT、Doodles NFT、Sandbox Land 等； 2022 年 11 月 1 日，KUMALEON 项目的 Discord 遭黑客入侵，攻击者通过发布钓鱼链接的方式实施攻击，导致社区用户大约 111 枚 NFT 被盗，包括 BAYC #5313 、ENS、ALIENFRENS 和 Art Blocks 等； 2021 年 12 月 31 日，推特用户 Kramer 在推特称其点击了一个看起来像真的 NFT DApp 链接，结果这是一次网络钓鱼攻击，他的 16 个 NFT 被盗，包括 8 个 Bored Apes、7 个 Mutant Apes 和 1 个 Clonex，价值 190 万美元； 2023 年 1 月 15 日，知名博主 @NFT_GOD 因点击谷歌上的钓鱼广告链接，导致所有账户（substack、twitter 等）、加密货币以及 NFT 被盗； 2023 年 1 月 26 日，NFT 知名项目 Moonbirds 创始人 Kevin Rose 的钱包被盗，丢失约 40 枚 NFT，损失超过 200 万美元； 2023 年 1 月 28 日，NFT 知名项目 Azuki 官方 Twitter 账号被黑，导致其粉丝连接到钓鱼链接，超 122 枚 NFT 被盗，损失超过 78 万美元； 2023 年 2 月 8 日，一名受害者因一个存在已久的 NFT 钓鱼骗局，连接到钓鱼地址，损失超过 1,200,000 美元的 USDC； …… 鉴于 NFT 被盗的频发和影响严重性，查找币科技针对 NFT 钓鱼团伙发布两次针对性追踪分析： 2022 年 12 月 24 日，查找币科技首次全球披露《朝鲜 APT 大规模 NFT 钓鱼分析》， APT 团伙针对加密生态的 NFT 用户进行大规模钓鱼活动，相关地址已被查找币追踪系统标记为高风险钓鱼地址，交易数也非常多，APT 团伙共收到 1055 个 NFT，售出后获利近 [...内容已精简...] rove 钓鱼，让用户知道 DApp 交易构造时的详细内容。预执行机制：通过交易预执行机制可以帮助用户了解到交易广播执行后的效果，有助于用户对交易执行进行预判。尾号相同的诈骗提醒：在展示地址的时候醒目的提醒用户检查完整的目标地址，避免尾号相同的诈骗问题。设置白名单地址机制，用户可以将常用的地址加入到白名单中，避免类似尾号相同的攻击。 AML 合规提醒：在转账的时候通过 AML 机制提醒用户转账的目标地址是否会触发 AML 的规则。查找币科技作为一家行业领先的区块链安全公司，在安全审计方面深耕多年，安全审计不仅让用户安心，更是降低攻击发生的手段之一。其次，各家机构由于数据孤岛，难以关联识别出跨机构的洗钱团伙，给反洗钱工作带来巨大挑战。而作为项目方，及时拉黑阻断恶意地址的资金转移也是重中之重。查找币追踪系统反洗钱追踪系统积累了 2 亿多个地址标签，能够识别全球主流交易平台的各类钱包地址，包含 1 千多个地址实体、超 10 万个威胁情报数据和超 9 千万个风险地址，如有需要可联系我们接入 API。最后希望各方共同努力，一起让区块链生态更美好。往期回顾 ZKP 系列之 Circom 验证合约输入假名漏洞复现查找币：盘点 ZKP 主流实现方案技术特点查找币：“揭开” 数千万美金大盗团伙 Monkey Drainer 的神秘面纱暗度陈仓 —— Orion Protocol 被黑分析瞒天过海 —— BonqDAO 被黑分析查找币导航查找币科技官网 https://www.查找币.com/ 查找币区官网 https://查找币.io/ 查找币 GitHub https://github.com/查找币 Telegram https://t.me/查找币team Twitter https://twitter.com/@查找币_team Medium https://medium.com/@查找币知识星球 https://t.zsxq.com/Q3zNvvF --- *本文由查找币安全团队整理，来源：安全研究。*

NFT 防钓鱼指北：如何选择一款防钓鱼插件

查找币安全研究院

主题延伸阅读