最近看到不少 NFT 項目方和投资者都在吐槽资产被盜的事，连知名創作者都难逃一劫。Moonbirds 創辦人 Kevin Rose 前陣子就公开確认自己的钱包遭駭，損失了 25 枚 Chromie Squiggles 和其他 NFT，这事引起了不少人的警覺。其实 NFT 詐騙在这个圈子已经成了常態，手法層出不窮，今天想跟大家聊聊那些常见的套路，免得大家踩坑。

先说虛假廣告窗口这一招。加密 KOL NFT God 就因为在 Google 搜尋結果裡点了看似官方的贊助商链接，結果下載了惡意软體，導致钱包被入侵，損失了所有资产。Google 的廣告系统允許任何人通过付费排在搜尋結果第一位，用戶点擊率非常高，这給詐騙者製造了絕佳机会。

还有一種是虛假空投誘騙，詐騙者会先給你空投一些不知名的 NFT，然后开出高价收購。你一旦同意交易，就会被引導到釣鱼網站进行授權，资产就这樣沒了。偽造 NFT 也很常见，有人直接剽竊知名藝術家作品，在市场上架假版本，还会創建幾筆虛假交易来迷惑买家。

郵件詐騙也是重災区。OpenSea 升級智能合约那次，駭客就假冒官方发送升級提醒郵件，不少用戶被釣鱼链接騙了，BAYC、Doodles 等大項目的持有者都中招过。由於很多 NFT 項目要求郵箱綁定，这就給了攻擊者冒充官方的机会。

官方帳號被駭或遭冒充也很嚴重。BAYC 的 Instagram 帳戶被駭后，駭客用官方身份发布詐騙链接，誘導用戶连接 MetaMask 到假钱包，最后竊取了价值超过 280 万美元的 NFT。Yuga Labs 的 Discord 也被入侵过，攻擊者直接在官方频道发布釣鱼链接。

还有个狡猾的手法是生成相同尾號地址。大多數人只会檢查地址的前后幾位，詐騙者就利用这点，偽造一份看起来一樣的合约地址，不斷空投小額代币，等你複製粘貼时就中招了。

知道了这些套路，該怎麼保護自己呢？首先最重要的是保管好私鑰和助記詞，这些东西一旦洩露就沒法找回，不像 Web2 帳號可以改密碼。詐騙者经常通过空投、Free Mint 或假冒官方管理員来誘導你交出私鑰。

其次要養成習慣，常用的官方網站要收藏起来，从官網进入社交帳號，別轻易点开私信或郵件裡的链接。安裝反釣鱼插件也很有幫助，能识別不少假網站。资产要隔离管理，用不同的钱包參与交易和鑄造，大額资金的钱包最好完全不交互。

參与 NFT 項目前要做好盡職调查，檢查社交帳戶是否认证、多渠道交叉验证項目资訊。转帳时一定要檢查完整的合约地址，最好用钱包的地址簿功能直接选擇，避免被中间人修改。

如果真的被盜了，第一时间要隔离资产、更改所有社交帳號密碼，如果是病毒攻擊还要斷網。之后可以尋求專业安全公司幫助追查资金。NFT 詐騙手法在不斷进化，防範意识永远是最好的防線，希望大家都能安全地在这个生態裡探索。