最近看到不少 NFT 項目方和投資者都在吐槽資產被盜的事，連知名創作者都難逃一劫。Moonbirds 創辦人 Kevin Rose 前陣子就公開確認自己的錢包遭駭，損失了 25 枚 Chromie Squiggles 和其他 NFT，這事引起了不少人的警覺。其實 NFT 詐騙在這個圈子已經成了常態，手法層出不窮，今天想跟大家聊聊那些常見的套路，免得大家踩坑。

先說虛假廣告窗口這一招。加密 KOL NFT God 就因為在 Google 搜尋結果裡點了看似官方的贊助商鏈接，結果下載了惡意軟體，導致錢包被入侵，損失了所有資產。Google 的廣告系統允許任何人通過付費排在搜尋結果第一位，用戶點擊率非常高，這給詐騙者製造了絕佳機會。

還有一種是虛假空投誘騙，詐騙者會先給你空投一些不知名的 NFT，然後開出高價收購。你一旦同意交易，就會被引導到釣魚網站進行授權，資產就這樣沒了。偽造 NFT 也很常見，有人直接剽竊知名藝術家作品，在市場上架假版本，還會創建幾筆虛假交易來迷惑買家。

郵件詐騙也是重災區。OpenSea 升級智能合約那次，駭客就假冒官方發送升級提醒郵件，不少用戶被釣魚鏈接騙了，BAYC、Doodles 等大項目的持有者都中招過。由於很多 NFT 項目要求郵箱綁定，這就給了攻擊者冒充官方的機會。

官方帳號被駭或遭冒充也很嚴重。BAYC 的 Instagram 帳戶被駭後，駭客用官方身份發布詐騙鏈接，誘導用戶連接 MetaMask 到假錢包，最後竊取了價值超過 280 萬美元的 NFT。Yuga Labs 的 Discord 也被入侵過，攻擊者直接在官方頻道發布釣魚鏈接。

還有個狡猾的手法是生成相同尾號地址。大多數人只會檢查地址的前後幾位，詐騙者就利用這點，偽造一份看起來一樣的合約地址，不斷空投小額代幣，等你複製粘貼時就中招了。

知道了這些套路，該怎麼保護自己呢？首先最重要的是保管好私鑰和助記詞，這些東西一旦洩露就沒法找回，不像 Web2 帳號可以改密碼。詐騙者經常通過空投、Free Mint 或假冒官方管理員來誘導你交出私鑰。

其次要養成習慣，常用的官方網站要收藏起來，從官網進入社交帳號，別輕易點開私信或郵件裡的鏈接。安裝反釣魚插件也很有幫助，能識別不少假網站。資產要隔離管理，用不同的錢包參與交易和鑄造，大額資金的錢包最好完全不交互。

參與 NFT 項目前要做好盡職調查，檢查社交帳戶是否認證、多渠道交叉驗證項目資訊。轉帳時一定要檢查完整的合約地址，最好用錢包的地址簿功能直接選擇，避免被中間人修改。

如果真的被盜了，第一時間要隔離資產、更改所有社交帳號密碼，如果是病毒攻擊還要斷網。之後可以尋求專業安全公司幫助追查資金。NFT 詐騙手法在不斷進化，防範意識永遠是最好的防線，希望大家都能安全地在這個生態裡探索。