نکات کلیدی:

• NFTهای اسکم، یکی از ابزارهای موردعلاقه مجرمان سایبری برای سوء استفاده از کاربران وب 3 هستند.
• پیچیدگی نسبی این کلاهبرداری‌ها باعث شده که گاهی اوقات حتی کاربران مجرب هم فریب آنها را بخورند.

فرض کنید که اپلیکیشنی مثل لجر لایو را باز کرده و متوجه می‌شوید که یک NFT جدید به اکانت پلی گان شما اضافه شده است. بلافاصله روی NFT کلیک کرده و این پیام را مشاهده می‌کنید:

“Congratulations! You’ve won 1000ETH. Just go to definitely-not-a-scam-nft-site.com and collect your reward.”

"تبریک! شما برنده هزار اتر شدید. کافیست وارد سایت ......... شده و جایزه خودتان را دریافت کنید."

شما والتتان را وصل کرده و پیام شرکت در ایردراپ را دریافت می‌کنید. فوراً تراکنش متامسک را قبول کرده و با دستگاه آن را امضاء می‌کنید. اما وقتی موجودی خودتان را چک می‌کنید، متوجه می‌شوید که هیچ توکنی به حساب شما اضافه نشده و حتی کل موجودی که از قبل داشتید، از بین رفته است! کلاهبرداری‌های امروزی به همین سادگی شما را هدف می‌گیرند.

قطعاً شما هم با ایردراپ‌ها آشنایی دارید و کاربران زیادی در گذشته با ایردراپ‌ها به سود خوبی رسیده‌اند؛ اما مجرمان سایبری از همین میل افراد به ثروتمند شدن سوء استفاده کرده و آنها را فریب می‌دهند. البته، NFTهای اسکم نسبت به کلاهبرداری‌های معمولی پیچیدگی‌های بیشتری دارند و ممکن است تشخیص آنها حتی برای کاربران مجرب هم سخت باشد.

در ادامه با طرز کار این کلاهبرداری‌ها آشنا می‌شویم.

NFT اسکم چیست و چطور کار می‌کند؟

NFTهای اسکم در دنیای وب 3، حکم ایمیل‌های اسکم در وب معمولی را دارند. همانطور که دائماً برای کاربران اینترنتی ایمیل اسکم ارسال می‌شود، NFTهای اسکم هم دائماً برای آدرس والت کاربران وب 3 ارسال می‌شوند. رویکرد کلی هر دوی این کلاهبرداری‌ها به یک صورت است؛ با این تفاوت که سالهاست کارشناسان، سیستم‌های مختلفی را برای تشخیص و فیلتر کردن ایمیل‌های فیشینگ و اسپم طراحی کرده‌اند؛ اما دنیای کریپتو هنوز نسبتاً جوان محسوب می‌شود. بنابراین، NFTهای اسکم کمی متفاوت هستند.

معمولاً NFTهای اسکم هم بر اساس تاکتیک‌های مهندسی اجتماعی پرکاربرد طراحی می‌شوند. بعضی از آنها سعی می‌کنند شما را فریب داده و توکن‌ها یا NFTهای شما را بگیرند و بعضی دیگر ارزهای دیجیتال معمولی (مثل اتر، متیک و غیره) را هدف می‌گیرند.

در مجموع، در این کلاهبرداری‌ها از کاربر خواسته می‌شود که فوراً یک کار خاص را انجام دهد (معمولاً برای این کار از یک تایمر معکوس یا وعده پول زیاد استفاده می‌شود).  در واقع، کلاهبرداران سعی دارند شما را وادار کنند که فوری و بدون فکر اقدام کنید و وعده‌های مختلفی به شما می‌دهند؛ از جمله ارز دیجیتال مجانی یا دسترسی به یک کالکشن NFT و هر آنچه برای شما جذابیت داشته باشد.

قطعاً هر کلاهبرداری با یک ترفند و روش خاص انجام می‌شود؛ اما در همه آنها از یک ابزار مشترک به نام فیشینگ استفاده می‌شود. متأسفانه، وارد شدن به لینک فیشینگ ارسال شده توسط مهاجمان، یا شما را متقاعد به امضای یک تراکنش مخرب کرده یا یک بدافزار را روی سیستم شما دانلود می‌کند. سپس مهاجم با استفاده از این بدافزار به فایل‌های شما دسترسی پیدا کرده و اطلاعات روی صفحه نمایش را دستکاری می‌کند.

در ادامه، جزئیات این روش‌ها را با هم مقایسه می‌کنیم:

NFTهای اسکمی که باعث دانلود بدافزار می‌شوند

همانطور که اشاره شد، ممکن است کلاهبرداران سایبری از لینک فیشینگ در NFT استفاده کنند تا شما را به سایتی هدایت کنند که بدافزار را روی کامپیوتر شما دانلود می‌کند. پس از دانلود بدافزار، مهاجمان می‌توانند فایل‌های شما را بخوانند. اگر از والت نرم‌افزاری (گرم) استفاده می‌کنید، ممکن است کلیدهای خصوصی یا عبارت بازیابی والت در حافظه دستگاه شما باشد. حتی ممکن است مهاجمان با نصب یک کی لاگر، همه پسوردهایی که شما تایپ می‌کنید را جمع آوری کرده و به همه حساب‌های شما دسترسی پیدا کنند.

برای مقابله با این مشکل، استفاده از والت‌های سخت‌افزاری مثل لجر می‌تواند مفید باشد؛ چون این والت‌ها، کلیدهای خصوصی شما را در محلی به دور از دسترسی اینترنت ذخیره می‌کنند. این یعنی، از ارزهای دیجیتال شما در برابر جاسوس افزارها یا بدافزارهای قابل نصب روی دستگاه‌های وب 2 حفاظت می‌شود.

NFTهای اسکمی که کاربر را وادار به امضای یک تراکنش مخرب می‌کنند

ممکن است سایت فیشینگ موجود در یک NFT اسکم، شما را به سمت امضای یک تراکنش هدایت کند - که در این حالت، حتی والتی مثل لجر هم نمی‌تواند از دارایی‌های شما حفاظت کند.

در واقع وقتی از دستگاه لجر برای دسترسی به اپلیکیشن‌ها و سرویس‌هایی خارج از اکوسیستم لجر لایو استفاده می‌کنید، باید آن را به اینترفیس یک والت شخص ثالث وصل کنید؛ مثل متامسک، والت کوین بیس یا والت کانکت.

این مرحله اهمیت بسیار زیادی دارد چون معمولاً به صورت دقیق مشخص نیست که در حال امضای چه نوع تراکنشی هستید و لزوماً همه والت‌ها تمامی جزئیات تراکنش را به زبانی که برای انسان‌ها قابل خواندن باشند، نمایش نمی‌دهند. به چنین امضایی، امضای کورکورانه گفته می‌شود که متأسفانه یکی از مسیرهای متداول حمله است. کافیست روی گزینه تأیید (confirm) کلیک کنید تا موجودی شما مستقیماً وارد حساب کلاهبرداران شود.

آیا امکان فروش یا انتقال این NFT وجود دارد؟

به هیچ وجه نباید با توکن مخرب تعاملی داشته باشید. به ندرت چنین کلاهبرداری‌هایی با تعاملات درون زنجیره‌ای فعال می‌شوند؛ اما فروش یا انتقال این توکن‌ها هیچ فایده‌ای ندارد.

شاید تصمیم بگیرید که این توکن‌ها را به آدرس سوزاندن توکن ارسال کنید اما این ایده هم چندان خوب نیست چون قرارداد NFTهای اسکم با عجله و بدون در نظر گرفتن جزئیات نوشته شده و ممکن است بهره وری مناسبی نداشته باشند. در واقع، مجرمان سایبری به دنبال پیاده سازی بهترین قرارداد ممکن نیستند چون تنها هدف آنها، سرقت دارایی‌های کاربران است. در نتیجه ممکن است هزینه‌های فراخوانی قرارداد بسیار زیاد باشد. این موضوع لزوماً به نفع کلاهبرداران نیست اما می‌تواند باعث ضرر شما شود.

فروش این NFTها هم راهکار خوبی نیست. بیشتر مواقع، قرارداد هوشمند مربوط به توکن از فروش آن جلوگیری می‌کند. متأسفانه، به راحتی می‌توان منطقی را پیاده سازی کرد که مانع از سود بردن کاربران از چنین توکن‌های اسکمی می‌شود، بنابراین توصیه نمی‌شود که به دنبال انتقال یا فروش NFTهای اسکم باشید. بهترین اقدام این است که NFTهای اسکم را از پورتفولیوی خودتان مخفی کنید.

در صورت کلیک کردن روی لینک، چه کاری می‌توان انجام داد؟

بعید است که کلیک کردن روی لینک اسکم تأثیری بر دستگاه شما داشته باشد. معمولاً، چنین سایت‌هایی سعی دارند شما را متقاعد به دانلود یک بدافزار روی لپ تاپ یا گوشی و یا امضای یک تراکنش کنند. کاربران دستگاه‌های لجر، نیازی به نگرانی درباره بدافزارهای نصب شده روی دستگاه‌های وب 2 ندارند. حتی اگر کامپیوتر یا گوشی شما آلوده به بدافزار شده باشد، خود دستگاه لجر کلیدهای خصوصی را ذخیره کرده و تراکنش‌ها را در یک محیط مجزا امضاء می‌کند.

اما اگر خود شما تصمیم به امضای یک تراکنش مخرب بگیرید، دستگاه لجر نمی‌تواند مانع این کار شود. بنابراین، اگر روی یک لینک نامطمئن کلیک کردید و از شما خواسته شد که یک تراکنش را امضاء کنید، هرگز این کار را انجام ندهید چون صرف نظر از نوع والت مورد استفاده، این مهم‌ترین و بزرگترین تهدید برای ارزهای دیجیتال شما است.

در صورت امضاء کردن تراکنش مخرب، چه کاری می‌توان انجام داد؟

امضاء کردن یک تراکنش مخرب می‌تواند پیامدهای بسیار بدی داشته باشد. اگر تراکنشی را در یک سایت فیشینگ امضاء کرده باشید، ممکن است برای حفظ توکن‌های شما دیر شده باشد! امضاء کردن یک تراکنش به تنهایی می‌تواند باعث شروع فرایند مبادله، انتقال یا فروش دارایی‌های شما شود.

برای پیشگیری از ضرر بیشتر، باید بلافاصله از ابزارهایی که امکان لغو تأیید را فراهم می‌کنند استفاده کنید. از جمله ابزارهای محبوب می‌توان به اتراسکن یا Revoke.cash اشاره کرد. دقت داشته باشید که اجرای این فرایند مستلزم خرج کردن مقداری کارمزد گس است.

چگونه NFTهای اسکم را مدیریت کنیم؟

پس از بررسی کارهایی که می‌توانید در صورت روبرو شدن با NFTهای اسکم انجام دهید، در ادامه مطلب نگاهی به راهکارهای مقابله با این کلاهبرداری‌ها داریم.

اعتماد نکنید، راستی آزمایی کنید

منظور از راستی آزمایی، پیدا کردن اطلاعات مفید است و اینکه خودتان تحقیقات و بررسی‌های لازم را انجام دهید. معمولاً ایردراپ‌های معتبر سروصدای زیادی در اینترنت برپا کرده و در شبکه‌های اجتماعی زیاد راجع به آنها صحبت می‌شود. حتماً برای اطمینان از درستی ایردراپ، ردیت و توییتر را بررسی کنید. البته این امکان وجود دارد که کلاهبرداران با ساختن اکانت‌های جعلی طرح خودشان را تبلیغ کنند. حتماً اصالت پروژه را بررسی کرده، در جوامع مربوطه حضور داشته باشید و بعد از تحقیقات کامل ریسک اتصال به قرارداد مربوطه را بپذیرید.

هر زمان دچار تردید بودید، از امضای تراکنش خودداری کنید

پیش از تأیید هر تراکنشی در دستگاه لجر، با دقت جزئیات آن را در اینترفیس والت بررسی کنید. مهاجمان نمی‌توانند بدون امضای شما به دارایی‌هایتان دسترسی پیدا کنند بنابراین بهترین راه حفاظت از دارایی‌های خودتان، امضاء نکردن تراکنش است. اگر مصمم به برقراری ارتباط با یک قرارداد هوشمند هستید، از یک والت burner استفاده کنید.

کلاهبرداری‌ها را گزارش دهید

با گزارش دادن کلاهبرداری‌ها به سرویس‌های گزارش دهی آنلاین یا پلیس می‌توانید به مقابله با آنها کمک کنید.

برای دسترسی به اپلیکیشن‌ها و سرویس‌ها از لجر لایو استفاده کنید

اگر در لجر لایو، توکن‌های NFT ناشناسی را مشاهده کردید از تعامل با آنها خودداری کنید. NFTهای اسکم همیشه کاربران را به بیرون از لجر لایو هدایت می‌کنند. اولین گام برای حفظ امنیت دارایی‌های خودتان، نادیده گرفتن این درخواست‌ها است.

دسترسی به اپلیکیشن‌ها و سرویس‌ها از طریق لجر لایو باعث می‌شود که به یک پلاگین امضای شفاف دسترسی داشته باشید. این یعنی می‌توانید NFTها را در بازارهای تحت پشتیبانی خرید و فروش کرده و هر تراکنش را با جزئیاتی خوانا بررسی کنید.