币圈不会掉馅饼，只会掉陷阱和有可能是毒药

Original Чека 村民活动中心 2021-09-25

Чека

读完需要

7分钟

速读仅需 2 分钟

作者：Чека | 编辑：不管不理的员

大家都知道天上是不会掉馅饼的。可是，最近的 NFT 市场好像掉下来很多“馅饼”——不过是有毒“馅饼”。而这些案例，在我们看来甚至都有些“弱智”——详情请看本文第二部分。（公众号村民活动中心昨天也讲过电信诈骗成熟手段在 B 圈的应用，点击查看。）

惨案：空投 NFT 导致损失 4 万美元

昨天，推特上有用户发现自己的账户中出现了很多的NFT。为了获取这些NFT，他与钱包地址做了交互。结果，自己钱包被盗，很多高价值的 NFT 被盗取了，折合损失 13.75 ETH，差不多 4 万美元。在当事人 AJ 只有 551 位粉丝的情况下，他的这条推特有超过 500 条转发、300 次引用和 1200 个点赞👍。这可能也是当事人的“高光时刻”了吧。

更加诡异的是，自己的 NFT 明明被交易和转移了，按照当事人 AJ 在推特的博文展示，OpenSea 给他发邮件告诉他交易成功，然而他在 OpenSea、EtherScan 或 PolygonScan 上面都查不到相应的交易记录。推荐大家去当事人的推特看看各方网友的分析和评论，这是个很好的拓宽思维的机会。（官方加塞：也欢迎关注推特不管不理的员@LongLongLongBTC。）

“弱鸡”的案例：被假冒 OpenSea 员工骗走 48 万美元

美国知名的科技媒体 the Verge 报道了一个更加典型的被“骗”案例。

Jeff 进入 Discord 想向 OpenSea 的工作人员请教关于版权方面的问题，然后被 Pascal | OpenSea 的人员接待，接下来双方友好交谈，Jeff 还被拉进了 OpenSea 客户服务群。之后，经过几小时的讨论，“工作人员”建议 Jeff 共享屏幕进行操作，以方便来解决问题——然后，Jeff 的 NFT Bored Ape 等等都被转走了。

当然了，在区块链的世界里，我们无法得知骗子的身份，不过 OpenSea 可以识别骗子的钱包地址并冻结其在 OpenSea 的资产。然而，骗子已经将这些 NFT 出售给了其他参与竞价的人——而这些竞价者并不知道 NFT 是偷来的。

回顾来看，这个故事最核心的风险点在于共享屏幕，这时候如果展示了助记词或者私钥，那你就完全暴露了。就是这样简单的事情，直接损失了 48 万美元。

英文原文 https://www.theverge.com/22683766/nft-scams-theft-social-engineering-opensea-community-recovery ，中文翻译 https://mp.weixin.qq.com/s/CUK6Df8vQ9AdYIPDeNcMwg 。

警惕：DeFi 骗局多，看好你钱包

合约交互被骗，在 DeFi里非常普遍。在土矿泛滥的时候，骗子的账户比项目方的账户都多。这些骗子会给你的账户空头一些代币，这些代币大多数是以 .io 为结尾。

你发现自己账户里有几十万枚代币，刚开始肯定是不信的。可你上 Uniswap 里查看，他们价值上万美金，这个时候，你兴奋的不能自已，很自然就把风险这个词给抹杀掉了。

很幸运，很兴奋，很高兴。这个时候，但凡你还有一点点的理智，尤其是新手小白，就会想着赶紧卖掉，套现。你想啊，天上掉下来十几万。都说币圈赚钱，看来实在是好赚。

你一卖，骗局就正式拉开了帷幕。好戏就上演了，很有可能是以下情况（不可能完全一致，领会精神）。

需要你的账户授权，而且引导你去一个看上去正规的官网。一旦完成授权，你的账户就不再是你的账户了，而成为别人的存钱罐。也许一时半会不会有问题，但总有一天你账户里的所有的币都会被骗子取走。
有真实的买卖的池子，但是流动性很差。当你想卖的时候就会发现需要添加流动性。为了那十几万，添加一点算啥，添加流动也是很正常的嘛。但是不久你就会发现，你钱包里的代币总价值一直在涨，人性的贪婪会让你不断的投入，等你想卖的时候就会发现，合约限制卖出，或者卖出的手续费惊人的贵。等池子里的ETH差不多了，骗子就会撤出流动性，把ETH装进自己的兜里。

还有别的骗术，方式各个不同，可目的就一个：你账户里的钱！

现在的NFT市场非常红火，很多时候，在你的钱包里出现了一些空投NFT，这是很正常的，因为空投是最佳吸引用户的方式，它的成本和宣传的广度都很好。

有好就有坏，这个世界很复杂，如果你发现你的账户里的 NFT 出现了挂单和接受出价的环节，那么你就要小心了。

在 Opensea 中，我们进行交互时候都要 Approve 一次。这个交互是很正常的，费用也是正常。不正常的是，这个环节有很大的漏洞，就是没有任何的提示，无论是正常交互还是跟骗子的合约交互，都是显示的正常的。

如果骗子布置的合约里有授权，骗子就可以转移你的资产。当你发现后联系Opensea 暂时冻结你的NFT，可是骗子依然可以直接接受机器人对 NFT 远远低于地板价的报价，再将卖得的 ETH 转移到自己的钱包了。

另外，在 Opensea 的 NFT 里有一个隐藏的项目，在一些作者会将一些代码或者源文件放到隐藏的链接里。

这是由 NFT 的原理导致的。你在这里买到的只是一串代码，而真正的源文件是有可能在各个网站或者网盘里，等你买到后就可以去这些网站或网盘里把属于你的NFT拿到你自己的储存空间内。

同样，如果这个时候买家没有一丝的警惕性，看到网址就点开，点开后发现授权就同意。

那么你的资产又不翼而飞了。而且，对于你来言，你根本不会知道是什么时候被盗，是怎么被盗。你都不知道要从哪里查验这些事情的。

骗术都很简单，但是同时又很复杂。

简单的是你只要提高一点点的警惕性就可以避免被骗。

复杂的是所有的骗术都是利用了人性的弱点。很多人被骗的时候根本不会承认自己的弱点。