玩 NFT 前必知:6 大 NFT 詐騙手法、5個避險原則
過去近兩年,NFT 一直是區塊鏈議題中話題性十足的項目:根據 Chainalysis 研究報告指出:2022 年 Q1 第一季度 OpenSea 平台有 950,000 個地址完成 NFT 交易買賣,相較於 2021 年 Q4 的 627,000 個地址,增加幅度約有 66% 左右。雖然 NFT 話題熱度一度有些微下降趨勢(因 2022 年 2 ~ 4 月中旬,NFT 市場整體交易量表現較為低迷),但根據數據報告顯示,2022 年 Q2 的交易地址總數量已逐漸復甦。
伴隨著主流趨勢,如今 NFT 高額的項目交易已成為眾多詐騙者的目標:大量詐騙受害者、攀升的詐騙金額及網路釣魚攻擊等問題一個個接踵而至。因此,此篇文章要帶大家了解最新的 NFT 詐騙手法,學會保護自己的數位資產,避免一不小心就落入詐騙圈套,珍貴的 NFT 就這樣永別了。
#1 三個知名的 NFT 詐騙案例
開始探討具體詐騙手法之前,不妨先看看近一兩年討論度較高、社群規模較大的 NFT 詐騙案例,以及對應的 NFT 詐騙手法有哪些:
#1.1 Evolved Apes(Rug pull,捲款潛逃)
在 Opensea 平台上架的 NFT 項目「Evolved Apes」(中譯:進化猿),令人譁然的是開發人員僅在項目上架不到一週的時間,就帶著 798 顆以太幣逃跑(ETH 換算將近價值 270 萬美金),即典型的捲款潛逃(Rug pull)。原本要給創作者及藝術家、Discord 社群中競賽獲勝者的酬勞與獎金 … 也連同項目方的「Evil Ape」也消失得無影無蹤。目前管理員的錢包仍可以收到每隻 Evolved Apes 每次轉賣交易金額的 4% 版稅:Opensea 平台對此至今仍未有任何回應。
#1.2 Squid NFT World(Pump and dump + Rug pull)
搭上 Netflix 影集《魷魚遊戲》的熱潮,2021 年 12 月 Biswap(Biswap 是幣安鏈上的去中心化交易所,這邊了解更多 去中心化交易所是什麼?【未來文章連結:去中心化交易所】)推出的第一款 GameFi 「Squid NFT World」風靡一時。(GameFi :全名 Game Finance,又稱遊戲化金融,是結合 DeFi 去中心化金融及 NFT 特性的一種遊戲型態。)
開發者藉由社群宣傳的方式,哄抬這款遊戲及其 BSW 代幣的價值:藉由人為操控價格高低的手法,開發者將 BSW 代幣的價值從流動性池(流動性池:Liquidity Provider,又稱作二池、LP 池,藉由提供項目流動性與優渥的年化收益,目的在於減少投資者自身虧損)轉移到幣安交易所發行的 BNB 代幣,並將所有的 BNB 代幣帶走。其換算幣值總額竟高達 336 萬美元!
#1.3 BAYC(Phishing)
全球知名的「無聊猿遊艇俱樂部:Bored Ape Yacht Club」(BAYC),是由 2021 年成立以來知名開發商 Yuga Labs 所製作的經典 NFT 項目。Yuga Labs 所創作的 BAYC 系列與其他系列項目,如:MAYC 變異猿、收購開發商 Larva Labs 創作的 CryptoPunks、Meebits 等知名系列,預計將在 2022 年底,達到累積總收入 4.55 億美元的成就。
然而,BAYC 曾歷經多次 NFT 項目盜竊,Discord 社群被駭客短暫入侵、並發送含有釣魚連結(Phishing)的訊息給用戶等。連亞洲天王周杰倫都慘遭詐騙,透過 Opensea 的交易紀錄,我們看到周杰倫被盜的項目 BAYC #3738 遭駭客多次轉手成功,平均每筆交易獲利 140 ETH,換算幣值高達 1400 萬台幣左右。
天下沒有不勞而獲的快速賺錢秘笈,詐騙者擅長的莫過於利用人們的無知與恐懼,不停創造新的騙局。我們希望在這篇文章裡,與讀者們一同探討常見的 6 種 NFT 詐騙手法,以及如何避免 NFT 詐騙的 5 個實用原則與風險管理,一起來看看。
#2 常見的 NFT 詐騙手法有哪些?
#2.1 NFT 詐騙手法 1:灌水並拋售項目 Pump and dump schemes
Pump and dump 顧名思義,「Pump」即為利用社群、名人等方式宣傳散播,短時間內營造項目受歡迎、大眾搶購的形象,藉此提高項目價格(項目最初通常為市值低、流動性低的加密貨幣或其他特定用途的代幣)。當項目價格被策畫者炒作到預期高點,策畫者就會開始「Dump」大量拋售自己持有的項目,造成市場出現供過於求的情況。項目價值快速崩跌、市場恐慌紛紛拋售,最後投資者只剩下一文不值的項目,對項目方的信任也蕩然無存,Squid NFT World 中項目方大力宣傳的 BSW 代幣即為一典型案例。
#2.2 NFT 詐騙手法 2: 捲款潛逃 Rug pull
以 Squid NFT World 為例,在詐騙過程中,遊戲開發者會要求投資者將資金(如:以太幣 ETH 、比特幣 BTC 等)投注在 BSW 幣上。籌措到預期的資金量後,開發者接著透過 LP 池,將 BSW Token 的價值全數轉移到 BNB 代幣。這個轉移價值的過程又稱作「捲款潛逃 Rug pull」:開發者直接帶著資金捲款潛逃,並且不再經營項目 。
拋棄 NFT 項目並捲走資金的情況,通常發生在惡意開發者創造一個全新的 Token,原本信任項目方的投資者希望從這些 Token 中賺錢獲利,開發者卻趁機從 Token 中取走了所有投資者的資金。
(編按:以 Squid NFT World 為例,「BSW 代幣」在此對應的英文單詞是「Token」。Token 是指區塊鏈上應用層所產生的憑證,通常僅在該條鏈使用與產生價值,Token 運用於區塊鏈上,目的在加速區塊鏈的交易、維繫區塊鏈生態。任何有價值的東西,都能轉變成 Token 應用,如:NFT;「BNB 代幣」在此對應的英文單詞則是 Coin。這是指:原生於區塊鏈最基礎的計價單位,是代表該鏈最核心的貨幣,因此 Coin 更像我們現實世界使用的錢,由於流通性夠高,Coin 可以是一個帳戶的數字,也更容易成為交換價值的媒介。)
#2.3 NFT 詐騙手法 3:空投騙局 Airdrop Scams
「空投」指的是項目方透過提供給鏈上用戶一些「免費回饋」,進而推廣項目的活動。如:透過免費空投 NFT 的方式,目的在於激起用戶好奇心,去了解這個項目的更多細節。一般情況下,用戶必須將「空投項目指定的錢包或交易所」準備好,屆時才有機會拿到空投幣。若錢包或交易所沒有支援接收的項目規格,就會拿不到免費的空投幣。
空投詐騙的策劃者則會發放不明的空投項目到用戶錢包,並邀請用戶按下批准或接受。一旦用戶批准空投項目,包含惡意連結的系統錯誤(error)訊息就會接著出現,此惡意連結通常是策劃者的假網站,但根據「真實存在的 NFT 項目」所創造,基本上肉眼很難分辨(真假網站的差異,有可能只差在網址字母等細微之處,如:大寫字母 I 與小寫字母 l。)
點入惡意連結後,策畫者誘導用戶進行下一步,也就是空投詐騙的關鍵部分:請用戶「手動連結錢包」或「手動輸入註記詞或私鑰」,導致用戶錢包中的數位資產被全部盜走,這個惡劣手法又被稱為「空投釣魚」(Airdrop phishing)。
實際的詐騙案例不勝枚舉,其中最著名的案例包括 BAYC 及 MAYC 的持有用戶領取假冒的空投幣 ApeCoin,以及在 2022 年 4 月快速竄紅的 Moonbirds,都曾有詐騙者利用 Twitter 或 Instagram 等假冒官方的社群帳戶,透過舉辦抽獎、免費贈送更多空投幣等方式混淆用戶視聽,讓用戶放心點擊惡意連結的詐騙紀錄。歷史數據告訴我們受騙的慘痛代價:ApeCoin 空投詐騙案,全部用戶的錢包總金額損失超過 100 萬美元;透過空投釣魚損失的 29 個 Moonbirds 項目則遭詐騙將近 150 萬美元。
#2.4 NFT 詐騙手法 4:網路釣魚攻擊 Phishing
必須一再強調,「釣魚攻擊」目前在鏈上非常普遍,舉凡撰寫釣魚郵件、盜用有官方藍勾勾認證(verified)社群帳戶發布貼文、開發假的 NFT 項目網站或假冒交易平台等詐騙手法早已不足為奇。與此同時,詐騙者仍持續開發更多新型詐騙手法-這些詐騙作業的成本之低,與後續詐騙成功所獲取的鉅額相比簡直微不足道。詐騙者願意不惜一切手段,只為換取用戶一時貪念或錯失恐慌(FOMO:Fear of missing out,指的是一旦離開社群,就會不斷害怕錯過新鮮事、跟不上潮流的心理狀態),沒有事先做足功課就輕易提供自己的錢包憑證資訊。以下 3 種情況為 NFT 網路釣魚攻擊的實際常見情境,建議平時也應隨時關注最新的詐騙資訊,避免受騙:
- 假冒官方平台網站,要求輸入錢包資訊
點選連結進入交易平台之前,請務必再三確認網址資訊是否無誤(或將官方正版網站網址留存,以防日後點擊到假的釣魚網站)。惡意釣魚網站會在用戶登入時,要求輸入用戶的私鑰或助憶詞;但實際上,除非是「忘記錢包密碼」的情況,使用到錢包助憶詞的情況並不會經常發生。
另一種情況發生在「使用硬體錢包交易」(硬體錢包:屬於冷錢包的一種,是自動產生隨機公鑰及私鑰的實體裝置;因沒有連結網路,安全性高於一般的線上錢包),由於硬體錢包交易的過程需進行雙重安全驗證,一般硬體錢包驗證步驟如下:一、輸入硬體錢包的裝置憑證。二、輸入硬體錢包的密碼與助憶詞。完成以上步驟後,才能開始進行硬體錢包交易。因此,這些需要「一再輸入敏感資訊」的網站是否為正版網站,還請大家務必小心判斷。 - 假冒官方技術支援、免費贈品訊息
當用戶希望尋找平台相關客服時,詐騙者很有可能趁虛而入:詐騙者假冒成平台技術支援人員,假藉技術檢查名義要求用戶「螢幕分享畫面」,並趁機截取用戶畫面上出現的任何錢包憑證資訊,再引導用戶至釣魚網站、說服用戶輸入私鑰或助憶詞並成功竊取錢包。
另一種情況為詐騙者假冒平台方,透過社媒帳戶發布贈品活動,誘導用戶去釣魚網站點擊領取贈品。一旦錢包連結成功,釣魚網站就會馬上紀錄輸入敏感資訊,再次成功竊取錢包中的數位資產。 - 假冒官方宣傳活動、假貼文抽獎活動
造假的項目方如使用 Rug Pull 手法的 Squid NFT World:Squid Game 代幣於 2021 年 10 月 20 日發行,藉由社群快速上升的討論熱度與代幣價值,詐騙者在 2021 年 11 月 1 日,一瞬間將所有投資者資金全數撤出,從項目發佈到捲款潛逃,發生期間僅僅不到 2 週。這些背後的策劃者非常用心,付出許多努力冒充成一個好的商機,實際上卻帶著投資者的資金與信任逃之夭夭。
#2.5 NFT 詐騙手法 5:盜版項目 Plagiarized NFTs
2022 年 1 月,NFT 交易平台 Opensea 曾於 Twitter 推文中公開承認自己的失敗 : 由於平台能免費製作 NFT 項目(關於 Opensea 的「免費鑄幣工具」:以往工具沒有設定 NFT 個數製作上限,且不收鑄幣手續費,因此創作新的 NFT 項目門檻非常低),導致高達 80% 以上的項目都是盜版與抄襲!正因如此,在平台上購買 NFT 容易碰到假貨,光憑肉眼幾乎無法分辨。
若要確認項目是否為真的方法,幣圈中強調以「DYOR」的原則為主。再次建議提醒大家,請盡量避免直接搜尋項目,若搜尋到假冒的盜版項目並完成付款,結果往往是不可逆的。建議平時就養成只使用官方社群提供連結的習慣,進入正確的項目購買頁面。
#2.6 NFT 詐騙手法 6:投標詐騙 Bidding scams
投標詐騙 Bidding scams 經常發生在「二級市場」(「一級市場」指的是 NFT 項目鑄造或首次發行的地方,如:項目方官網;「二級市場」則包含項目所有後續轉售流程發生的地方)。換句話說,二級市場就像現實世界中去證券交易所買股票,過程中同樣會產生交易風險。
區塊鏈上的投標詐騙,可能發生在用戶(賣家)為 NFT 項目標上金額一個極短的瞬間,惡意詐騙的買家趁賣家沒注意,偷偷換了外觀很像、價值卻差很多的加密貨幣,用來報價請用戶批准。一旦賣家沒檢查清楚貨幣種類就按下批准接受,買家就成功賺取幣值的價差了。因此,建議賣家務必在進行交易前,確認幣值種類是否正確。
#3 如何避免 NFT 詐騙呢?
#3.1 原則 1:DYOR(Do Your Own Research)
DYOR,中文可翻譯為「做好自己研究功課」:DYOR 一詞經常使用於幣圈,目的在希望用戶進行投資前,盡可能對該項目、項目團隊與官方社群作全盤研究,最好有辦法說出為何購買或支持該項目的原因,再決定是否實際以資金贊助。下列統整了幾個 DYOR 原則中可執行的小步驟,提供給讀者們參考:
- 評估 NFT 項目的產品路線圖(Roadmap)
所謂的產品路線圖(Roadmap),指的是項目方所推出的產品願景,通常陳列於項目方官方網站。一般產品路線圖內容包含:項目發展藍圖、短期與長期目標、創作者履歷及官方社群媒體管道 等公開透明資訊,以利投資者評估是否有長期投資價值。
一般來說,比起獨立的藝術家或創作者,希望利用 PFP 項目(Profile Picture,這邊是指透過購買 NFT,於 Twitter 或 Instagram 等社群設定的個人頭像)進行更多新延伸項目的大型融資團隊,才會有製作產品路線圖的需求。透過視覺化未來執行計畫的方式,建立投資者的信任並告訴投資者「何時」可以看到哪些一定的里程碑。
一份完善的 Roadmap,通常會包含下列幾個重點要素:- 項目願景
指的是開發這個項目的最終(長期)目標。項目願景必須易讀易懂、內容撰寫不建議太過冗長,至少 1~2 分鐘內左右能夠完成閱讀。 - 項目里程碑
項目進行過程中,需要依順序進行的各個短期目標。例如:資金池啟動、建立社群頻道、進行空投 等不同的目標。建議項目里程碑的描述要簡單清楚,並且公開透明、隨時都能在項目方網站中找到,以便投資者核對目前項目的進行狀況。 - 實用性
除了擁有 NFT 項目的基本功能,如:在鏈上進行質押(Staking)、培育(Breeding)或邊玩邊賺(Play-to-Earn,了解更多 Play-to-Earn 是什麼?),還有哪些特殊的項目功能。
以 PROOF 團隊開發的項目 Moonbirds 為例,用戶購買了 Moonbird 項目之後,若項目都沒有從錢包中轉移賣出,Moonbird 便可以自己築巢(nesting),透過不斷升級巢穴,以獲得更多空投獎勵。
又以實體賦能為例:若歌手使用 NFT 技術發行了演唱會門票,購買 NFT 門票的歌迷可憑票再兌換一張實體簽名專輯。實體專輯具備現實世界可使用的衍伸功能, 又可稱為這張 NFT 門票的「賦能」。除了 NFT 本身的價值,還有項目團隊提供的額外附加價值,這些都是 Roadmap 中可以說明的亮點。
- 公開透明、並經常更新狀態
項目方的網站、社群管道等公開平台都有頻繁更新狀態,並能夠清楚告知投資者目前項目里程碑的進程、未來目標發展,以及項目團隊預計如何實現一些回饋給投資者的資金計畫等等。
- 項目願景
- 評估 NFT 項目的流動性與成交量大小
「流動性」一詞,原為證券市場所使用的專業術語,指的是「公司將其資產轉換為現金」的難易程度。同理,NFT 項目的流動性則是指一個區塊鏈中的「NFT 項目轉換為現金」的難易程度。
然而,NFT 的本質屬於非同質化代幣,也就是具備「不可替代性」與「獨特性」,擁有像藝術品一樣的收藏價值。這與「流通性」的本質相互矛盾,但若商品沒有流通性,沒賣出的商品自然也不會有成交量、投資報酬率等實際數據。因此,此原則的評估方式在於仔細全盤檢查「項目購買頁面」資訊,檢查內容包含:
1. 成交量或收藏數是否數字太低,並與該項目社群規模大小相比對是否合理
2. 社群是否有買方過度熱絡等狀況出現
一般來說,若項目的成交量低、社群規模小,討論度卻異常的高,這部分還是建議先執行 DYOR,再決定是否下單比較保險。 - 評估 NFT 項目的社群規模、成長空間
在 Twitter、Discord 或 Telegram 等社群管道中,對項目保持密切關注。建議充分搜集社群資訊與項目團隊人員等相關資料,在執行 DYOR 後,才能清楚掌握項目里程碑的進程與目標發展。
#3.2 原則 2:檢查對方的使用者資訊與項目資訊
善用區塊鏈瀏覽器 Etherscan。從 Etherscan 可以查詢已發行項目的詳細歷史資訊,資訊如智能合約的公開地址(格式為 0x…… 的一串長數字。區塊鏈網路中,可以理解為"門牌地址":其他人均需要透過"地址"才能與你進行交易)、每筆交易紀錄等都會清楚記載在區塊鏈。直接詢問項目方、從社群公告區查找資訊,都是獲得已發行(已公開)的合約地址資訊的方法。因此進行交易前,記得隨時檢查合約地址資訊是否無誤,徹底執行 DYOR 以避免安全上的疑慮。
#3.3 原則 3 : 強化安全性
我們都生活在網路詐騙猖獗的時代,使用雙重身分驗證(2FA)是保障任何數位資產的一線守門員。搭配平台設定,使用 Google Authenticator、簡訊驗證(SMS)等優秀的 2FA 工具,妥善保管好自己錢包憑證與數位資產。
#3.4 原則 4 : 務必使用官方連結
如前言所述,我們一再的提醒讀者,遠離釣魚詐騙最好的方法就是直接留存官方網站網址。網路上的假釣魚網站層出不窮,且外觀上非常難憑肉眼分辨,透過自己留存的官方網址登入,仍然是避免假釣魚連結最好的方法之一。
#3.5 原則 5:購買前小心求證,避免 FOMO 心態影響判斷
在投入任何一種可以賺錢的商機知前,不變的鐵則一定是「小心求證」:務必小心社群上任何帶風向、過度激情的言論,避免抱持著 FOMO(Fear of missing out) 心態去購買不夠了解的項目,影響自己的判斷能力。
在區塊鏈的世界中,由於去中心化及匿名的特性,目前大部分遭遇到 NFT 詐騙的人都難以將資金追回,就連現實世界中可信賴的中心化金融機構都束手無策。因此,我們一再強調能夠做的就是 DYOR:購買前再三驗證、悉心檢查所有購買流程的細節中是否有任何問題。購買時保持謹慎,心態則保持開放;隨時認知投資有賺有賠、項目可能某天會貶值。在選購 NFT 時,購買自己喜歡、認同項目理念或項目團隊的 NFT 才是最重要的。透過識別不同的 NFT 詐騙訊號,了解項目的實用原則與風險管理,希望這些資訊不僅能夠幫助想購買 NFT 的人,風險管理的不變原則,在未來區塊鏈中的更多應用層面上也有所幫助。讓我們一起往繽紛的 NFT 世界邁出第一步吧!
延伸閱讀:【NFT 怎麼買】新手圖解大全、9 個 NFT 交易平台
