最近看到不少 NFT 项目方和投资者都在吐槽资产被盗的事，连知名创作者都难逃一劫。Moonbirds 创办人 Kevin Rose 前阵子就公开确认自己的钱包遭骇，损失了 25 枚 Chromie Squiggles 和其他 NFT，这事引起了不少人的警觉。其实 NFT 诈骗在这个圈子已经成了常态，手法层出不穷，今天想跟大家聊聊那些常见的套路，免得大家踩坑。

先说虚假广告窗口这一招。加密 KOL NFT God 就因为在 Google 搜索结果里点了看似官方的赞助商链接，结果下载了恶意软件，导致钱包被入侵，损失了所有资产。Google 的广告系统允许任何人通过付费排在搜索结果第一位，用户点击率非常高，这给诈骗者制造了绝佳机会。

还有一种是虚假空投诱骗，诈骗者会先给你空投一些不知名的 NFT，然后开出高价收购。你一旦同意交易，就会被引导到钓鱼网站进行授权，资产就这样没了。伪造 NFT 也很常见，有人直接剽窃知名艺术家作品，在市场上架假版本，还会创建几笔虚假交易来迷惑买家。

邮件诈骗也是重灾区。OpenSea 升级智能合约那次，黑客就假冒官方发送升级提醒邮件，不少用户被钓鱼链接骗了，BAYC、Doodles 等大项目的持有者都中招过。由于很多 NFT 项目要求邮箱绑定，这就给了攻击者冒充官方的机会。

官方账号被骇或遭冒充也很严重。BAYC 的 Instagram 账号被骇后，黑客用官方身份发布诈骗链接，诱导用户连接 MetaMask 到假钱包，最后窃取了价值超过 280 万美元的 NFT。Yuga Labs 的 Discord 也被入侵过，攻击者直接在官方频道发布钓鱼链接。

还有个狡猾的手法是生成相同尾号地址。大多数人只会检查地址的前后几位，诈骗者就利用这点，伪造一份看起来一样的合约地址，不断空投小额代币，等你复制粘贴时就中招了。

知道了这些套路，该怎么保护自己呢？首先最重要的是保管好私钥和助记词，这些东西一旦泄露就没法找回，不像 Web2 账号可以改密码。诈骗者经常通过空投、Free Mint 或假冒官方管理员来诱导你交出私钥。

其次要养成习惯，常用的官方网站要收藏起来，从官网进入社交账号，别轻易点开私信或邮件里的链接。安装反钓鱼插件也很有帮助，能识别不少假网站。资产要隔离管理，用不同的钱包参与交易和铸造，大额资金的钱包最好完全不交互。

参与 NFT 项目前要做好尽职调查，检查社交账户是否认证、多渠道交叉验证项目信息。转账时一定要检查完整的合约地址，最好用钱包的地址簿功能直接选择，避免被中间人修改。

如果真的被盗了，第一时间要隔离资产、修改所有社交账号密码，如果是病毒攻击还要断网。之后可以寻求专业安全公司帮助追查资金。NFT 诈骗手法在不断进化，防范意识永远是最好的防线，希望大家都能安全地在这个生态里探索。