https://mp.weixin.qq.com/s/qaw_XiVzhmN9sF-NeFk1PQ
前几天,我发了个朋友圈说「从没有在web2的世界被钓鱼过的我在web3折了腰」,换来了「你也有今天」。
我决定把这事儿展开说说,面对自己的愚蠢,认识自己的局限,被嘲笑无所谓,重要的是吸取教训。
前天晚上,我全身心的在看关于worldcoin的内容(关于OpenAI创始人的WorldCoin项目碎碎念),从创始人Sam Altman到worldcoin官方推特(现在应该叫X)。
好巧不巧的,刷到worldcoin发NFT,就这条:
我自然是毫不犹豫的点进去,连上小狐狸钱包就Mint了一个。
紧接着,一个高仿账号(目前这个账号已经被封)的内容出现在官方账号信息列表中,这条信息翻译过来正好就是「NFT验证身份,领取空投奖励」。
按照惯例,我看了下这个号,关注量被刷的跟官方差不多,官方发了什么,它就同步过来什么,评论点赞都刷满,然后在拷贝过来的官方信息列表里插入虚假信息,放一个钓鱼网址。
正常情况下,我是不会上当的……因为我都会去查那个钓鱼网站的域名所有权信息。
但那晚上,不知道怎么回事,注意力完全不是在这个网站是不是假的上面了(时候在看,这个域名假的不能再假了),而是我刚领了一个NFT,我来验证一下(就自然而然给串联起来了)……
这个网站限制了开发者模式,所以我也没看代码,直接就点了验证按钮,然后钱包就开始不停的弹出授权信息(你只有关掉网站才能拒绝),点完拒绝继续弹,没完没了。
这个时候注意力更不在是不是骗子网站了,开始觉得网络不稳定,钱包连不上上面去了,点了取消一直弹,那我就点个接受试试……
然后里面的钱就变少了,但是我还以为是网络慢,所以里面的代币没显示出正确的数字。这个时候,我的注意力依然没回到这是钓鱼网站上面来。
然后我去我手机钱包上刷新一下,才发现,怎么还是没正常显示我该有的金额呢?
这个时候慌了…突然就惊醒了,有一种上课打瞌睡被老师点名的感觉,瞬间冷汗直冒,可惜为时已晚,去链上一看,好家伙,把币全转走了,真的是一个都没给留啊!直接被零元购了!
我里面有280多刀ETH,600多刀的某山寨币,价值6000来块钱的就直接归零了,最让我不爽的是,我那600多刀的山寨币,此时此刻已经涨到价值两万多人民币了。
最后跟踪到骗子的钱包地址,却毫无办法(区块链黑暗森林),只能看着它钱包里一直有新骗进来的钱,第二天我再去看的时候,这个钱包已经骗了11万多美元了,它还都换成了ETH。
事后我复盘了下:
1,太自信,觉得从没有被骗过,这种低级骗术怎么可能骗得了我?而事实上,当你的注意力不集中的时候,真的很容易犯低级错误。
2,我本来有一套严格的钱包授权流程,但那天完全没遵守。比如,这种授权应该用小钱包去做交互,但那天满脑子想的是验证那个NFT,根本就没切换钱包。
3,如果钱包里只有山寨币,没有ETH,也倒不会被转走,因为没有足够的手续费啊,可惜,我还真留了200多U准备「抄底」。但凡我留的ETH不够手续费的话,它也没法给我转走啊。
4,这个事儿着实打脸,我妥妥就变成了「懂得一堆道理却依然没过好」的典型。
教训:
1,别乱点开网页,尤其是睡眠不充足,迷迷糊糊的时候就别操作了,尤其是钱包交互。
2,人防的同时还是要上技防的手段,这样出现人不靠谱的时候,起码还有技防来兜底,我现在就上了安全插件来给我犯糊涂的时候提醒。(很多人真的会不看内容,只看yes 或者no的)
3,被坑过的这个钱包就不用了,或者去把一些奇怪的授权取消掉。
4,日常操作搞一些没多少钱的小钱包,跟存放大资金的账户一定一定不要是同一个,要分开!幸亏我这个是6000,要是60万,也是一瞬间就全零元购了。
5,识别钓鱼网址是web3散户必备技能,一定要看这个域名!去查下域名信息!有时候所谓官方发出来的都不一定是真的,因为官方都可能被黑客劫持代发虚假信息!(比如20年发生的这个事儿⬇️)
6,别乱授权(prove),别乱签名!点击确定之前,冷静十秒钟再动手。