web3钱包骗局揭秘

随着区块链技术的兴起，很多用户开始关注并开始使用web3钱包，然而也有许多钱包受到骗子的骗局攻击，他们精心设计的骗局企图让人们陷入误区，可以轻易获取受害者财产。

一，web3钱包诈骗案是一种以钱包地址进行“冒充受害者”的欺诈行为。诈骗者会通过许多手段向用户传播植入了病毒的web3钱包地址，一旦用户使用该钱包地址发送资产，就会给诈骗者聚敛财产。

第二，web3钱包的黑客攻击案，也就是网络安全漏洞攻击。因为钱包和区块链在保存记录数据上更安全，所以吸引了黑客入侵，黑客们利用网络安全漏洞攻击web3钱包一旦成功入侵，就可以偷取钱包中的资产。

第三，web3钱包的社会工程学是一种“滑铁卢”行为，这种攻击手段一般是通过向受害者发送假冒的区块链钱包的各种注册信息，或者为受害者提供“更安全和更便捷的web3钱包”，这些假冒的信息都是由骗子使用冒充真实的区块链钱包地址，一旦用户识别不出它为假，就会将自己的资产转入假钱包，从而丢失资金。

总而言之，web3钱包骗局的真相已经揭示出来，从诈骗者伪装受害者的地址，到黑客散播网络攻击，再到骗子伪装区块链钱包地址，无论是从技术上还是管理上，web3钱包都要面临许多挑战。为了保护用户的资产安全，钱包管理方必须站在钱包用户的角度，拥有一个完善的钱包安全体系，及时发掘安全漏洞，加强安全防护，并及时处理可能导致资产损失的危险因素。

提醒大家务必要注意！现在币圈和链圈也存在诈骗的情况：现在区块链方面的项目太火了，国内外各类传销、资金盘都打着“金融创新”“区块链”的旗号，通过发行所谓“虚拟货币”“虚拟资产”“数字资产”等方式吸收资金，侵害公众合法权益。此类活动并非真正基于区块链技术，而是炒作区块链概念行非法集资、传销、诈骗之实。请大家务必要警惕！还要警惕各类交易所小平台，必须选择全球知名的品牌。

普通人怎么参与到web3当中来？首先对web3概念做一个了解：

Web3是指第三代互联网，也被称为去中心化互联网。它是建立在区块链技术之上的一种新型互联网架构。传统的Web2.0互联网主要由中心化的服务器和服务提供商控制，而Web3通过区块链和加密技术实现了去中心化的特性。

Web3的关键特点包括：

1. 去中心化：Web3允许用户直接与其他用户进行交互，而不需要通过中心化的第三方中介。区块链技术使得数据和应用程序可以分布式存储和管理，而不依赖于单个中心化的服务器。
2. 用户掌握数据：在Web3中，用户可以完全掌握自己的数据，并有权决定如何使用和分享这些数据。用户可以使用加密技术保护自己的隐私和数据安全。
3. 去信任化：Web3通过使用智能合约和加密货币等技术，减少了对中介机构的依赖。交易和合约的执行可以通过智能合约自动进行，无需信任第三方。
4. 去审查：Web3提供了更多匿名和隐私保护的功能，使得信息和内容的传播更加自由和开放。
Web3的应用领域非常广泛，包括数字货币、去中心化金融（DeFi）、去中心化应用程序（DApps）、去中心化身份认证（DID）等。它为用户提供了更大的控制权和隐私保护，同时也推动了互联网的创新和发展。

普通人可以通过以下几种方式参与到Web3中：
1. 学习区块链和加密技术：了解区块链的基本原理、加密货币的概念以及智能合约的功能。
2. 创建自己的数字钱包：为了参与Web3，您需要一个数字钱包来存储和管理您的加密货币和数字资产。选择一个安全可靠的数字钱包，并确保妥善保管您的私钥。
3. 购买加密货币：通过交易所或其他渠道购买一些加密货币，如比特币、以太坊等。这些加密货币可以用于参与Web3应用的交易和治理。
4. 探索去中心化应用（DApps）：去中心化应用是Web3的核心应用之一。您可以探索和使用各种DApps，如去中心化金融平台、去中心化交易所、去中心化社交网络等。参与这些DApps的使用和交易，体验Web3的去中心化特性。
5. 参与加密货币社区和项目：加入不同的加密货币社区和项目，参与讨论、分享经验和获取更多的信息。可以参与社区的治理、投票和贡献代码等。

6. 关注Web3的发展和创新：保持对Web3生态系统的关注，了解最新的技术发展、项目和应用。参加相关的线上或线下活动，与其他Web3爱好者交流和学习。

什么是 Web3 钱包？

Web3 钱包是互联网的未来。它们为我们提供了一种使用硬件或软件来获取资金、与 DApp 和银行交互、收集 NFT、创建链上身份、与社区协作以及提供超出传统钱包范围的更多用例的方法。

本文将介绍和解释一些更常见的钱包，重点关注两个特定类别，托管和非托管。这是一个重要的区别，因为它对个人数据和金融资产意味着什么。

Web3 钱包将在未来几年成为一个巨大的行业标准。如果您有任何类型的内容或资产想要获利——无论是数字艺术还是在线商店——是时候让您领先于这一趋势了。

在传统的银行账户中，它在某个地方的保险库中。但如果你使用的是加密货币——通过区块链技术交易的数字代币——你的钱实际上并不在任何地方。这只是数据。

这就是钱包如此重要的原因。它们存储您访问加密货币资金所需的信息，这些信息是存储在称为区块链的公共分类账上的数字代币。

如果您购买或出售过比特币、以太坊或其他加密货币，您可能知道保护您的加密货币安全很重要。

但是，你是怎么做的？

幸运的是，有几种不同类型的钱包可以帮助你保护你的加密货币安全。加密钱包是一种应用程序或硬件设备，可让您访问和存储您的数字货币。它具有三个主要组件：公钥，用于发送和接收交易；私钥，必须保密且不公开，并且可以访问资金；和一个可以创建新私钥的助记词。

热钱包

Web3 热钱包的类型

热钱包是基于软件的钱包，将加密货币存储在连接到网络的设备上。由于它们能够存储、发送、接收和查看代币，因此它们比其他类型的钱包更方便。就 Web3 钱包而言，热钱包被认为是实用性最高的，因为它们可用于支付或与智能合约交互。

热钱包将私钥存储在您计算机上受密码保护的加密文件中。这意味着如果您的密码设置正确，您可以从任何可以访问互联网的计算机访问您的资金。但是，这也意味着，如果黑客获得了对您计算机的访问权限，那么他们可以通过直接访问钱包文件来一次窃取您的所有资金。

桌面钱包

桌面钱包是最安全的热钱包。它们作为应用程序下载到您的计算机，并在您的计算机上本地运行。如果您不想将任何资金留在交易账户中，或者如果您想在离线计算机上存储一些加密货币，桌面钱包是一个不错的选择。

手机钱包

移动钱包是一种加密货币钱包，专门设计用于与智能手机兼容。由于空间限制和对简单性的需求，与桌面钱包相比，移动钱包往往更原始且功能有限。

从本质上讲，移动钱包使用户可以在旅途中存储、发送、接收和管理他们的数字资产，而无需离开沙发或离开舒适的家。

移动钱包通常比其他类型的加密货币钱包更易于使用，因为它们具有直观的用户界面 (UI) 和简单的功能，例如可与他人快速共享的二维码。

网络钱包

当您使用网络钱包时，您的私钥存储在云中，不会显示给您或其他任何人。这意味着，如果您想从您的钱包中转移资金，您需要访问与您的帐户关联的唯一地址。

网络钱包通常被认为不如桌面钱包安全，因为它们更容易受到黑客攻击。如果黑客能够侵入存储您的私钥的云服务器，他们可能会窃取您的所有资金。

尽管存在这些风险，但如果您不想下载任何内容或想要从多个设备轻松访问，则网络钱包可能会很有用。

冷钱包

为了保护他们的加密货币免受网络犯罪分子和黑客的攻击，一些投资者选择将他们的数字资产存储在冷钱包中。这些钱包没有连接到互联网，因此很难破解。

冷钱包可以是实体的也可以是数字的。还有一些硬件钱包可以提供比传统冷存储方法更高级别的安全性，因为它们通过 USB 端口直接连接到您的计算机，而不是像软件钱包那样通过浏览器窗口连接。

硬件钱包

硬件钱包是看起来像 USB 驱动器的物理设备。他们使用随机数生成器来创建用于保护加密货币的公钥和私钥。它们被认为是最安全的选择之一，因为它们不连接到互联网，因此您的私钥不会被盗。这使得硬件钱包成为长期投资和存储的理想选择。

硬件钱包可与任何现有的加密货币钱包或交易所一起使用，使其成为任何有兴趣投资加密货币的人的多功能工具。它们也易于使用；只需将它们像闪存驱动器一样插入您的计算机并启动您的软件。您甚至可以在包括平板电脑和智能手机在内的多种设备上使用它们！

使用硬件钱包的唯一缺点是它们不如应用程序或基于 Web 的钱包等其他选项快。但是，它们仍然可以随时使用，同时保护您的所有资金免受黑客或其他威胁。

使用 web3 钱包的好处

Web3 钱包是加密货币的未来。与任何其他钱包类型相比，它们为用户提供了更大的灵活性和对其交易的控制。以下是使用它们的一些优点：

方便使用的

Web3 钱包的优势有几个原因。首先，它们允许您管理和交易您的资产，而无需通过第三方。它还使您可以完全控制您的资金，因此您可以轻松管理它们或根据需要进行交易。

此外，它们易于设置，这对于刚接触加密空间的用户来说是一个很大的优势。设置过程只需几分钟。创建帐户后，您就可以开始交易，并且可以轻松访问多个 web3 产品。与其他传统数字钱包相比，这非常容易使用。

隐私和匿名

Web3 钱包提供高水平的隐私保护。这意味着当您与另一个地址进行交易时，任何人几乎不可能知道收件人是谁。

增强的安全性

当您投资加密货币时，您需要知道您的投资是安全的。您需要知道有关您的信息（包括您的身份和资金可及性）是完全安全的。Web3 钱包使用加密的注册/登录程序和加密的存储系统，确保没有违规行为，其他人无法访问您的钱包。大多数 web3 钱包也不允许提款以提高安全性。

如何创建 web3 钱包？

在您可以使用使用以太坊区块链的应用程序之前，您需要安装一个数字钱包。数字钱包是一个在线账户，允许您存储和转移与区块链相关的加密货币。

最受欢迎的加密货币是以太币或 ETH。如果您想创建 MetaMask 钱包，请按照以下步骤操作：

安装扩展

点击创建钱包

您需要创建并重新确认您的密码

请记住保持您的秘密恢复短语安全可靠并确认您的秘密恢复短语。

web3钱包骗局揭秘

「安全」记一次web3被骗经历

黑客无时无处不在，大家一定要做好安全防范措施！

时间：2023年3月11日

事件：电脑被黑导致钱包被盗，电脑数据被盗

事件经过：

2023年3月11日上午，在DC有人私聊我说一款基于BNB链的链游在招募测试，测试完成之后会给予参与测试的人员内测NFT，基于对链游的好奇我参与了测试。

刚开始，他让我向他提交了一份数据（只是聊天界面，非表单），个人职业经历，钱包等信息，他象征性的让我通过了。

然后让我去https://worldofcreatures.io/#Creatures 下载游戏

我看游戏下载页面和官方说明文档页面都很正规就放下的戒心

下载并然后本地运行了游戏，然后发现游戏并不能正常运行，出现明显的问题，提示：.net framework 初始化失败

我去DC找他沟通，给我的反馈是我的电脑.net framework版本过低，让我更新到最新版本

我去微软官方网站更新了最新版本之后，重新运行游戏仍然出现这个问题，然后就去DC继续找他沟通，得到的反馈：这看起来是一个问题，我已经向研发团队反馈了，你还有其他的电脑或者其他的朋友吗，让他们一起来参与测试。

当时我没有反应过来，就让我一个朋友也下载运行了游戏，结果仍然是一样的。（还好我的朋友用的是一个空电脑，不然也跟我出现跟我一样的遭遇。）

最后DC上面他给我的回复仍然是：这个是已知问题，你再找你其他朋友试试。

后面我放弃了游戏的测试

在下午的时候，我的电脑突然卡住然后黑屏了，一开始我的反应是我开的软件太多电脑卡死了。

在经历了十几分钟的黑屏之后我强制关机并重启了，然后没发现异常就没有做过多的关注。

2023年3月12日，早上起来发现DC群里有人说钱包被盗了，说了一些可能怀疑的情况，感觉跟我的情形很像，我心里一个激灵，赶紧起来打开电脑，结果......就如题所示，钱包被盗了，所有链资产被清空了！！！

一瞬间，懵逼了！

损失：现货100+U，lens一个(当时价值100+u，现在300+u)，外加其他项目和公链的交互，一些项目的NFT等等

在心慌慌的情况下，我联系了慢雾安全团队的创始人余弦，最后得知问题就是下载的未知名的游戏！

在石乐志的情况下，我去DC找了当事人询问，当事人矢口否认，在一气之下我删掉并拉黑了他的DC。

之后我查看我的钱包记录，发现实际在3月11号19点左右就被盗了。

然后我下载了，腾讯电脑管家，360，甚至卡巴斯基，都没有查出来问题。

过了几天终于缓了过来，没想到却收到了黑客的邮件。

一看标题就感觉不是什么好东西，打开一看果然，简直脸都不要了！

黑客告诉我，我的电脑被入侵了，然后窃取了我的数据，通过浏览器漏洞收集了我的常用密码，还通过摄像头记录了我的私人视频，让我在3天之内给指定的地址发送价值900刀的BTC，并且很热心的提供了购买BTC的网站。

WDNMD

最后，我当然没有妥协（我这是一个空电脑，没什么数据，因为我上班忙他也没记录我的私人信），我没有理他，然后到目前为止也没有收到回信（怀疑他是故意诈骗）。

后来没有隔多久，发现有很多人同样中招，包括一个大V

跟我的情况何其相似，经此后，感慨颇多，所以记录成文章只希望能给大家一个警钟！

后来我学习了慢雾团队写的黑森林手册，了解最基本的安全知识，才发现真的是犯了最最低级的错误，为自己的认知不足买单了，还好付出的代价不算高昂。

最后，我个人总结出来了几个安全知识点：

钱包创建一定要断网，密钥和助记词一定要加密储存，可以参考我之前的文章：【工具】创建多个钱包太麻烦？那你一定要试试这个脚本！(qq.com)

电脑一定不要随便下载，安装，运行任何不确定的程序（mac相对安全性会更高一些，但也需要注意）

浏览器一定要经常更新，保持最新版本（防止低版本漏洞），并且使用完成之后一定要关闭浏览器（重启浏览器后小狐狸钱包需要输入密码）。

不要使用向日葵等远程软件（最近被爆出来有严重漏洞）。

一定要认真阅读学习慢雾团队的黑森林手册

以上都为作者本人亲身经历，可以查证钱包地址：

0xf0f9c45fd3b733d274448a161A2942B12F606420（目前已弃用）

最后希望大家都平安无事，多多赚u！

---

Web3中的Payzero骗局会让受害者一无所有

我们会在本文讨论了一个Web3欺诈场景，诈骗者通过伪造的智能合约锁定潜在受害者，然后悄悄盗取受害者的数字资产，如NFT代币。我们把这个诈骗命名为“（Payzero）零支付”。

Web3是一个让诈骗者可以快速获利的平台，他们通过不同的在线资产货币化方法寻求快速获利。Web3与Web2的不同之处在于，它的用户既是数字资产的诈骗者，而且还是数字资产的所有者。Web3用户不再使用传统的用户和密码认证方式。相反，用户拥有一对加密密钥并对消息进行签名。然后，使用签名来验证和验证用户操作。

与Web2相比，这增加了新的复杂性，因为新的攻击模式和认证机制可能难以理解。在Web2中，用户可以使用用户名和密码向大型在线服务提供商进行身份验证。然后，这些公司可以覆盖针对第三方应用程序的身份验证过程，让用户负责记住他们为这些服务提供商使用的用户名和密码。

在Web3中，最重要的凭证（钱包地址的私钥）由用户拥有。用户必须自己处理这些身份验证场景，这可能是一个复杂的过程，尤其是对新上手的攻击者来说。下图从身份验证的角度比较了Web2和Web3。

Web 2和Web3身份验证模型的比较

用户很难，甚至几乎不可能记住他们的加密密钥，因此助记词(助记词更容易记住或准确地记录下来)被用于备份和重新创建加密密钥。

虚假WalletConnect网络钓鱼页面

助记词（seed phrase），这组词汇读起来感觉毫无连贯性而言，却可以转变成一把钥匙，打开数字银行账户，或者进行在线认证。助记词通常是人类可读的单词序列，可以被记住或写下来。由于加密密钥很难记住，因此使用这些助记词来恢复密钥。在加密货币的世界里甚至有一种说法——“不是你的钥匙，就不是你的钱”，指的是托管钱包的风险(当私钥由第三方管理时)。助记词与密钥本身一样重要，因为它们足以创建密钥的副本。

然而，与任何新技术一样，它的复杂性可能会导致几个隐藏的漏洞。例如，通过提供虚假WalletConnect接口来获取助记词的网络钓鱼已经变得非常普遍。有几个诈骗是围绕着助记词演变而来的，比如通过助记词网络钓鱼或收集窃取的钱包，还有就是包括使用多重签名钱包，诈骗者在论坛上发布助记词，向用户寻求帮助。这些助记词将成为网上用户的漏洞，他们天真地认为，只要使用这些短语，他们就可以轻易地接管诈骗对象的钱包。虽然他们可能会为了测试目的而尝试将盗取的资金电汇到这个钱包中，但只有多个(即多重签名)密钥的原始所有者能够控制资金并将资金汇出去，因此这些“测试资金”将被困在钱包中。

Web3中存在很多被滥用的可能性，随着诈骗者迅速适应Web3技术，防御者必须跟上不断发展的滥用场景。

接下来，我们想讨论一个Web3欺诈场景，诈骗者通过虚假的智能合约锁定潜在受害者，然后在不付钱的情况下接管他们的数字资产，如NFT代币。

本质上，Payzero是一种欺诈方案，攻击者通常不向受害者支付其数字资产的任何费用，只是诱骗他们允许转移代币所有权。

一个典型的Payzero诈骗场景如下所示：

买家：打算接管代币的诈骗者；

卖家：潜在的受害者。

新的代币所有者：它可以是买家，也可以是诈骗者指定的第三方。

代币：NFT代币，它可以是任何ERC721、ERC1155和ERC20代币。一次欺诈事件可能导致多个代币丢失。

Payzero诈骗示例

在正常交易中，卖家将代币放置在各种代币市场（如Opensea）进行销售。当买家与卖家接触时，交易通过平台的智能合约进行，将资金和代币的所有权转移给新的所有者。

链上（On-chain）与链下（off-chain）市场

在链下市场中，NFT代币的所有者持有代币的所有权，直到与所有者进行交易。与此同时，在链上市场中，代币所有者将代币的所有权转移到市场的智能合约中，然后进行交易。

链上NFT交易示意图

链下NFT交易示意图

诈骗交易场景

想象有这样一个场景，受害者在Opensea等标记处列出他的代币。在欺诈交易场景中，买家（诈骗者）通常使用社交媒体或社交平台（如Twitter或Discord）接近受害者，并要求卖家将代币出售给买家。

在早期版本的诈骗（称为“SetApprovalForAll诈骗”）中，诈骗者会建议通过第三方网站进行交易。当受害者同意交易时，诈骗者可以获得NFT代币的所有权，因为受害者调用智能合约API并给予诈骗者操作许可。

由于这种情况已经发生了一段时间，许多用户已经意识到了这种诈骗，当他们被提供通过第三方进行交易时，他们变得非常谨慎。一些钱包还实施了解决签名欺诈问题的措施，如下图所示。

将签名诈骗的攻击性降到最低的措施

在Payzero诈骗中，数字资产(NFT代币)的所有者只是“同意”以零成本将数字资产出售给新所有者。通过同意此交易，用户将免费签署转让代币所有权。

所有者向买家免费出售数字资产

通过在区块链上使用启发式规则，我们记录了2022年8月至12月潜在的代币盗窃事件的数量。下图显示了执行Payzero诈骗次数最多的地址。
执行Payzero诈骗次数最多的钱包

下图显示了这五个地址触发的诈骗事件。从2022年8月到12月，发生了3000多起Payzero诈骗事件，涉及5000多个NFT（NFT的总价格约为3000 ETH或约360万美元）。

2022年8月至12月PayZero诈骗事件数量

同时，下图显示了前十大被盗金额事件。

前十大被盗金额事件

诈骗者一直在关注Web3的趋势，并迅速适应技术的变化。许多地下论坛出售的服务可以根据客户的需求定制新技术，甚至可以自动处理滥用过程的几乎所有部分。由于涉及大量资金，盗窃密码密钥和助记词的工具在地下广泛交易。此外，正在开发特定的恶意软件变体以获取加密资产。

地下服务正在迅速发展，提供从钓鱼套件和被盗数据分析工具（旨在搜索加密货币资产）到可用数字资产的自动验证等各种服务。

助记词钓鱼网站开发服务

OpenSea钓鱼网站售价600美元

助记词本身是地下论坛中的可交易产品，许多服务都是围绕助记词的收集或分析构建的。例如，我们发现能够从不同文本源提取助记词的代码售价为800美元。

从地下论坛出售的文本中提取助记词的代码

还有一些服务为用户提供了通过传统滥用被盗凭证来搜索助记词的能力。然后从各种应用程序（例如，从iCloud Notes）获取这些信息。

从iCloud Notes中提取助记词和私钥

甚至还有一个名为Deepchecker的全面服务，专门为Web3证书的自动验证而定制。该服务允许用户使用提供的助记词检查和监控钱包余额，它验证了与加密货币资产相关的1000多个不同来源。

用于验证加密货币资产的余额和价值的Deepchecker服务

总结

Web3技术的用户在与Web3交互时，必须对其资产的安全性承担个人责任。在Web3上签署交易非常容易，但缺点是，未经仔细验证的一次性签署可能会导致灾难性后果和重大财务损失。

诈骗者通常通过第三方网站提供链下交易来锁定潜在受害者，在第三方网站上，他们可以诱骗用户签署合同，允许这些诈骗者接管受害者的数字资产。自从MetaMask钱包在技术上解决了SetApprovalForAll权限问题以来，诈骗者一直在使用新的方法来欺骗用户放弃其资产的所有权，例如本文中讨论的PayZero方案。

幸运的是，目前已经有了应对措施，例如，多签名钱包（需要两个或更多签名才能签署交易）可以潜在地消除泄露助记词的影响。然而，对于用户来说，理解Web3的关键风险仍然很重要，在非托管钱包所有权中，资产所有者在其整个生命周期内对其资产的安全负全部责任，而在托管资产中，用户不仅拥有其资产，还面临更传统的风险，如黑客攻击、欺诈甚至监管机构本身的崩溃等等。
---

被吹爆的Web3，到底是不是割韭菜

Web3还是一片新生的土地，这里有生机，也有杂草，还有凛冽的寒风、虎视眈眈的猛兽。

现有的互联网，好多人都玩腻了。即便是5G，最多也就是能用来刷刷直播和视频、打打游戏，或者在社交网站上唇枪舌剑一番，玩法终归有限。人们对新一代互联网的期待，也愈发浓烈。这不，舆论开始热炒Web3了。

关于Web3，这个新一代互联网的蓝图，讲到耳根都起茧了的设想就是《头号玩家》，在这部电影中，人们可以戴上VR眼镜，瞬间就像进入另一个平行宇宙。但VR发展至今，能满足的体验感还是十分有限。许多吹得很高的元宇宙项目，UI设计还不如动画系应届生的毕业设计来得感人。

好多元宇宙项目的设计体验，连这个都不如。

现实骨感，却否认不了新一代互联网已经到来的事实，只是目前，它还只有个轮廓。

轮廓

互联网的历史并不久远，我们目前高频使用的版本，其实才是第二个世代，也就是“Web2.0”。

Web2.0最突出的特征就是可读可写，具有了一定的互动属性。它诞生的标志是2004年Facebook的成立。

相较于“Web1.0”只能读取信息的单向发布模式，Web2.0将信息发布的主体拓展到了所有用户。举例来说，门户网站是Web1.0的代表，而微博、公众号、在线问答百科则是Web2.0的典例。

Web2.0的核心理念是“人是灵魂”，它鼓励每个用户去创造、去记录，尤其到了短视频时代，更是让每个人都成为了生活的导演。但对于持续演进的互联网而言，这还不够，更新一代的Web3.0（通常写作“Web3”）呼之欲出。

Web1.0主打“可读性”，Web2.0强调“可写性”，Web3在此基础上又增加“可拥有”的标志性属性。

从Web1.0到Web3，区别一目了然。

如何能保证“可拥有”呢？好比我用动画软件设计了一张图像，仅仅上传到现有的互联网（Web2.0），是无法保证我独一无二的所有权的。因为这张图很容易被别人截图、保存，即便我加了签名，维护自己所有权的工作量也会十分巨大。

但在Web3中，这个问题可以得到很好地解决。因为Web3技术支持用区块链技术对这张图进行加密，这样，我所拥有的这张图是独一无二的。而且，所有权本身就意味着可交易性，既然它是独一无二的，是属于我的，我也可以出手转让，因为这份转让也是唯一的。

而在Web2.0中，还要设法证明自己手里的是真品，而不是复制品。可以这么说，相对于Web2.0主张“人是灵魂”，Web3在强调“人是主体”。什么叫主体？就是可以拥有，也可以处置自己的所属物。

Web3力图做到，拥有虚拟藏品，和拥有实体藏品体验一致。/pexels

Web3还有一项愿景，就是“去中心化”。我们在现实生活中，很容易理解这个词的含义。比如我有个背包，那肯定无论到哪里这个包都是我的，并且都是可以使用的。不可能这个包在公司就可以背，到商场就用不了了。

但在Web2.0中，我们的许多数字资产常常都是依附于平台的。我在A平台购买的数字专辑，到了B平台肯定就不能听。但Web3将会是去中心化的，所属物只属于人本身，而不再依附于某个平台。

这么分析下来，似乎Web3的概念还是很模糊。的确，关于这个领域，目前各国各大企业的探索都各有侧重，本来也没有多么清晰的定义。但即便只有这么粗的轮廓，都已经形成了不小的风口。

风口

Web3有多火呢，连周星驰都要跨界参与了。10月18日晚，周星驰注册了一个Instagram号，并发布了第一条动态：“招Web3人才。人才要求：熟悉Web3、有项目管理经验、有头脑又宅心仁厚。”

Web3不是你看到的这张图，而是背后那张网。/unsplash

而据虎嗅报道，周星驰早在2021年下半年就已经在研究NFT（不可互换的代币）了。等下，不是讲Web3吗，跟NFT有什么关系呢？其实，这个关系很简单，NFT就是Web3在当下最主要的应用场景。

周星驰对Web3，看重的正是其“可拥有”的属性，在一次访谈中，他曾多次强调“版权”和“IP”这些词汇。可以推测，他希望自己过去的IP在Web3中也能产生艺术影响力和商业价值。

这几年，明星艺人参与Web3的案例并不少见。周杰伦发表了18年前创作的一首未发布歌曲《纽约地铁》，电影《楚门的世界》主演金·凯瑞发布了NFT画作《太阳雨》，美国著名说唱歌手“盆栽”The Weekend还宣布要举办世界首场“加密巡演”。

《太阳雨》，十分震撼。

对于这些艺人的粉丝而言，在Web3中追星，不只意味着欣赏、购买收藏偶像的NFT作品，还能产生更加直接的互动。因为NFT背后的金融纽带，能让创作者和收藏者之间共享一致的目标，甚至产生一对一的交流。可以说，Web3将有望重新定义粉丝经济。

Web3还在塑造新的音乐创作分发机制。2019年，一家叫作Audius的音乐共享平台成立。Audius运用区块链技术，让各方都参与到音乐创作、存储和分发的过程中，除了10%的网络运营费用外，剩余90%均归音乐人所有，而在传统平台中，音乐人只能收入12%左右。

随着越来越多女性加入到Web3项目中，数字时尚领域也前所未有地活跃了起来。2021年，女性艺术家NFT项目推出了首批1000件PFP（图片证明）令牌，上线10小时即宣告售罄。虚拟皮肤、虚拟化妆品等产品，凭借在现实世界中难有的视觉观感，而日渐热销。

Web3世界中，多彩的女性形象。/World of Woman

在设备方面，也有厂商展开了探索。10月24日，欧洲奢侈品手机品牌VERTU发布了旗下全球首款Web3手机“METAVERTU”。

METAVERTU支持一键进入Web3模式，这种模式下，用户可以使用内置的v-shot（版权相机、能一键生成NFT）、v-box（10TB分布式存储）、v-talk（隐私通信功能）、v-alue（加密货币钱包）等功能。

曾经你爱答不理，如今你高攀不起。

当然，价格也不便宜，最低都要3600美元（约合25000元人民币）。别看价格贵，刚上架没多久就售罄了。

这也足以见得，Web3确实是炙手可热。

未至

近两年，Web3的投资行情火热。麦肯锡最新数据显示，2021年全年Web3风险投资总额为324亿美元；而2022年上半年，风投对Web3的投资就已经超过了180亿美元。可以预见，2022年全年的风投总额势必会大幅度超过2021年。

在应用上，这两年和Web3有关的APP数量也在迅猛增加。根据数据研究机构Apptopia的报告，2022年可供下载的Web3应用程序数量的增长速度，几乎是2021年的5倍。年初至今，可供下载的应用程序增长了88%，并且还在快速增长中。

Web3的世界，正在构筑中。

Web3的火热背后，不仅有资本的加持，也离不开政府的推动。目前，印度公务员考试已经涉及了Web3和NFT，其大型金融机构也在积极推动这一技术发展，比如印度银行推出2000万美元的Web3基金。

即使在民间层面，NFT游戏在印度也有很高的国民度。根据Finder针对26个国家43312人的最新调查，NFT游戏在印度最受欢迎，高达34%的受访者玩过。

另据虎嗅报道，日本政府也高度重视Web3领域，日本首相岸田文雄认为这是可以引领日本经济增长的互联网的下一代技术浪潮。

中国香港特区政府已经公开表示，决心竞争全球虚拟资产中心和全球Web3中心。

不过，由于Web3的发展尚处在早期，目前来看，还有许多漏洞要补。就拿Web3最为强调的安全属性为例，今年愚人节，周杰伦在Instagram上发文称，他被电话告知自己此前获赠的无聊猿游艇俱乐部#3738 NFT被偷了，他以为是愚人节的玩笑，没想到是真的没了。

周杰伦被盗的NFT藏品。

这套NFT在当时的价值高达人民币320万元，能买30套鹤岗的房子。

当然，黑客给Web3造成的损失，远不止这320万元。

今年3月，世界上规模最大、最受追捧的区块链游戏Axie Infinity被曝遭到了黑客入侵，价值为6.25亿美元的虚拟货币被盗。被盗事件还造成相应虚拟货币币值骤降，带来了更多的经济损失。

要知道，这些损失的虚拟货币，可是很多家庭散尽家财投入其中才积累的财富，很多人就等着多玩几把，多赢点币来赚生活费。一夜之间，又家徒四壁了。

除了黑客造成的资产风险之外，还需防范Web3藏品带来的洗钱犯罪问题。

人民日报曾发表评论称，目前国内对于NFT的法律性质、交易方式、监督主体、监督方式等尚未明确，NFT存在炒作、洗钱和金融产品化等风险，对于NFT投资应该保持谨慎态度，警惕“击鼓传花”式的金融骗局。

比特币的币值已经算稳健了，都如同过山车一般。

像Axie Infinity好歹是正规游戏，还有一些似是而非的Web3项目，本质上就是庞氏骗局，一旦入局，只能等着被割。

Web3还是一片新生的土地，这里有生机，也有杂草，还有凛冽的寒风、虎视眈眈的猛兽。确实有不少言论觉得Web3就是彻头彻尾的骗局，这种观点在Web2.0诞生时也有过。当时许多人觉得，Web2.0不过就是个毫无意义的行销炒作口号。

今天再回头看，Web2.0带来的革新，是显而易见的。也许不久的将来，Web3也会如此。

[1] 周星驰进军Web3，需要走几步|虎嗅

[2] VERTU发布全球首款Web3手机，背后隐藏了这些讯息|36氪

[3] 音乐圈押注Web3：一场游戏一场梦|新音乐产业观察

[4] Web3.0时代的音乐产业？恐怕还是一句空谈|钛媒体

[5] Web3正在重新定义粉丝的意义|nftnow

[6] 女性在Web3世界不是隐形人|JingDaily

[7] 全球最火NFT游戏一夜之间遭劫：玩家6.25亿美元打了水漂|品玩

[8] Web3，互联网新造神“机器”|每经头条

[9] 印度Web3“大跃进”|虎嗅

揭秘web3.0移动钱包新型骗局

我们最近发现了一种新型的网络钓鱼技术，可用于在连接的去中心化应用（DApp）身份方面误导受害者。

我们将这种新型的网络钓鱼技术命名为Modal Phishing（模态钓鱼攻击）。攻击者可以向移动钱包发送伪造的虚假信息冒充合法的DApp，并通过在移动钱包的模态窗口中显示误导性信息来诱骗受害者批准交易。这种网络钓鱼技术正在广泛使用。我们与相应的组件开发人员进行了沟通，并确认他们将发布新的验证API以降低该风险。什么是Modal Phishing？在CertiK对移动钱包的安全研究中，我们注意到Web3.0货币钱包的某些用户界面（UI）元素可以被攻击者控制用来进行网络钓鱼攻击。我们将这种钓鱼技术命名为Modal Phishing，因为攻击者主要针对加密钱包的模态窗口进行钓鱼攻击。

模态（或模态窗口）是移动应用程序中经常使用的UI元素。模态通常显示在应用程序主窗口顶部。这样的设计通常用于方便用户执行快速操作，如批准/拒绝Web3.0货币钱包的交易请求。Web3.0货币钱包上的典型模态设计通常提供供用户检查签名等请求的必要信息，以及批准或拒绝请求的按钮。真实交易批准模式与网络钓鱼交易批准模式对比在上方截图中，我们展示了Metamask上一个常规的交易审批模态窗口是如何出现的。当一个新的交易请求被连接的去中心化应用程序（DApp）初始化时，钱包会展示一个新的模态窗口，并要求用户进行人工确认。

如上图左侧所示，模态窗口通常包含请求者的身份，如网站地址（此例中为localhost）、图标等。如Metamask这样的一些钱包也会显示有关请求的关键信息，在实例中我们看到一些UI元素被标记为“Confirm”，以提示用户这是一个常规的交易请求。然而，这些用户界面元素可以被攻击者控制以进行Modal Phishing攻击。在右侧的截图中，我们可以看到攻击者可以更改交易细节，并将交易请求伪装成来自“Metamask”的“Security Update”请求，以诱使用户批准。如截图所示，攻击者可以操纵多个UI元素。因此我们将在本文中为大家分享两个典型案例，并确定那些可被攻击者控制的UI元素。

详细信息如下：① 如果使用Wallet Connect协议，攻击者可以控制DApp信息UI元素（名称、图标等）。② 攻击者可以控制某些钱包应用中的智能合约信息UI元素。攻击者控制的Modal和相关的信息源（DApp信息和方法名称）示例示例①：通过Wallet Connect进行DApp钓鱼攻击Wallet Connect协议是一个广受欢迎的开源协议，用于通过二维码或深度链接将用户的钱包与DApp连接。用户可以通过Wallet Connect协议将他们的钱包与DApp连接起来，然后与该协议进行进行交易或转账。在Web3.0货币钱包和DApp之间的配对过程中，我们注意到Web3.0货币钱包会展示一个模态窗口，显示传入配对请求的元信息——包括DApp的名称，网站地址，图标和描述。Web3.0钱包展示的这些信息和方式根据DApp名称、图标和网站地址不同而变化，以供用户查看。

但是这些信息是DApp提供的，钱包并不验证其所提供信息是否合法真实。比如在网络钓鱼攻击中，#某雷碧可以假称为某雪碧（均为DApp），而后在用户发起交易请求之前诱骗用户与其连接。

『Web3.0笔记』我采访了区块链杀猪盘，独家揭秘Web3骗术，新人进入币圈前必读防骗指南

风险提示

我采访了一个骗子，了解他如何欺骗人们并偷走他们的钱。

在这篇文章中，我将揭示他使用的策略，以及如何保护自己不落入这些骗局。

无论是bi圈老人或新人，希望都不要被愚弄了，继续阅读↓↓↓

此线程基于对真实诈骗者的采访。

此处提供的信息仅用于教育目的，不作为建议或鼓励成为骗子。

摘要
谁是潜在受害者；
骗子赚了多少；
哪些数据可能被盗；
MetaMask 钱包如何被黑客攻击；
骗子套现的方式；
如何避免被骗；
如果您被骗了怎么办。
一、符合这样特征的人，就是骗子想要的人
任何人。

然而，经验不足的人更有可能上当最简单的社会工程学把戏的当。

骗子经常使用技巧来获得您的信任，使您更容易受到他们的骗局的影响。

通常诈骗者试图让受害者以不同的借口下载某些软件或共享密码/助记词。

我采访的那个人说，他将自己介绍为一名程序员，并向他的受害者出售“可以赚很多钱”的程序。

二、你到bi圈暴富的梦想，却成了骗子996的福报
骗子赚钱的多少，主要取决于骗子的技能和他用来欺骗人们的方式。

例如，一个只有 6 个月经验的骗子每月可以轻松赚取 5,000 至 10,000 美元。

三、窃取数据，是诈骗者的惯用手段
诈骗者主要以窃取加密祸bi姿产为主，但也可能从事敲诈勒索、窃取个人数据等违法活动。

此外，您的 PC 数据可能最终会出现在 Internet 上并被其他欺诈者使用。

四、MetaMask 钱包如何被黑客攻击
如果您安装了恶意软件，将您的所有 PC 数据发送给诈骗者，他们可能会使用密码破解程序破解您的 MetaMask 钱包。

但是，如果您设置的密码超过 15-20 个字符，他们将无法执行。

五、骗子如何套现
有很多方法可以做到，但我采访的骗子使用的是@exodus_io：

在 BSC 网络上存钱；
交换$XRP；
使用假 KYC 转移到 CEX；
提取戴bi到另一个 CEX；
将token从 CEX 兑换成美元现金。

六、防骗指南
（一）5个要点
使用防病毒软件（@Avast或@McAfee）；
切勿在浏览器中保存密码；
限制从互联网下载；
为 Metamask 钱包和其他网站使用强密码；
不要保存助记词/密码的照片。
（二）如果您安装了恶意软件，如何处理数据和设备
更改社交媒体、交易所和电子邮件帐户的密码；
设置新的 2FA；
在您的 PC 上重新安装操作系统。

SAFEIS安全警示｜新型骗局来袭，Web3用户被骗事件频繁发生！

PDF文件曾经被认为对病毒免疫。然而，自从2002 年CNET宣布一种新病毒在PDF中传播以来，Web2世界便时常被PDF恶意文件骗局所困扰。伴随着加密市场的突破性发展，以及Web3概念影响力的持续扩大，PDF恶意文件骗局已经开始侵入Web3领域。

骗子将嵌入了病毒的文件伪装为正常的PDF文件，含有多媒体内容的PDF文件更容易被嵌入恶意病毒软件，这种恶意病毒软件通常被称为是特洛伊木马。

特洛伊木马

近期，Web3领域PDF恶意文件骗局事件频繁发生，其中多起是针对艺术家、加密社区大V以及一些加密项目。

一、这类骗局的套路？
1、骗子行骗第一步

诈骗者会在行骗前准备好嵌入病毒的文件，并修改了文件名且末尾添加了. PDF的后缀，然后将文件的图标改为PDF图标。

这样就把一个嵌入病毒的文件伪装为看似正常的PDF文件。

伪造的PDF文件

2、骗子行骗第二步

诈骗者会寻求诈骗目标，以近期真实案例为例，诈骗者联系了一个艺术家，并委托了一个关于艺术创作的任务，随后，该艺术家就收到一个关于任务需求的压缩文件，里面有客户需求文档、事例以及草图等PDF文件。

这些PDF其实是恶意SCR文件，是一个可执行的脚本文件。

3、骗子行骗第三步

当该艺术家打开文档，查看客户需求的时候，看似正常的文件却让一切变得很糟糕。

他钱包里的所有的NFT都被列出并出售，所有的ETH等加密货币都被转移到骗子的钱包中。

艺术家并不是这个骗局的唯一目标。

最近，很多Web3用户都因为这个骗局，失去了对自己的钱包账户的控制权，损失了钱包里的所有NFT和加密货币等资产。

二、如何检测PDF文件是否有病毒？
1、安全检测工具

△腾讯哈勃分析系统，点击“上传文件”按钮，即可评判文件的安全性，分析文件是否携带病毒；

腾讯哈勃分析系统

△VirusTotal 是一款出色的免费在线安全检测工具，可在PDF文件下载前，通过将PDF的网址或URL提交给 VirusTotal，该工具便可以扫描文件并检测文件的安全性；也可以对本地下载好的PDF文件进行上传检测，确定文件是否安全。

VirusTotal使用病毒信号检测和其他识别功能来评估 PDF 的安全性。它清楚地说明检测到的威胁，以便您可以选择是否继续与文件交互；

VirusTotal

△福昕PDF365网站支持免费对PDF文件安全性进行检测；

2、杀毒软件

大多数操作系统（lMicrosoft Windows和Apple macOS）现在都包含内置病毒和恶意软件软件的安全功能。此外，还有许多免费的第三方防病毒软件。

在下载PDF时，计算机的本地防病毒软件即可为用户提供最全面的保护。

在下载前使用 VirusTotal 检查 PDF 文档后，为了防止可能遗漏的安全问题，建议运行本地防病毒软件进行检测。

三、如何防范此类骗局

1、及时更新PDF阅读器和系统

软件和系统更新的意义主要就是为了改进功能并修补当前发现的安全漏洞。

最好使用Adobe Acrobat Reader，不论是安全性，还是功能等方面都有很好的体验，但无论使用哪种PDF阅读器，请务必在软件发出更新通知的第一时间进行更新。

更新软件时需要注意的是，更新的链接是否安全，不要从第三方网站和邮件中发送的链接以及弹出的通知进行更新，而应该从PDF阅读器中进行更新，或者，访问官方网站并下载最新版本。

此外，及时对系统进行更新，这将使系统始终处于最高等级的安全保障中，可以最大限度地防止恶意程序的侵袭。

2、禁用JavaScript

打开不明来源、难以确定其安全性的PDF文件时，禁用JavaScript至关重要，这会完全杜绝恶意文档执行破坏性的JavaScript代码。

以Adobe的PDF阅读器为例，简述关闭JavaScript的操作步骤：

△在Acrobat或Adobe Reader中点击“编辑”并选择“首选项”；

△选择 JavaScript 类别；

△查找“启用 Acrobat JavaScript”选项并取消选中它；

△单击“确定”按钮完成该设置。

如果使用的是其它PDF阅读器产品，也都可以按照其官方网站上提供的操作步骤说明来禁用JavaScript。

3、使用虚拟机

如果在工作生活中需要处理大量PDF文件，或者对某些PDF文件感到好奇，亦或是觉得有的安全措施过于繁琐，那么，使用虚拟机将十分便利且可以有效保护系统不受损害。

虚拟机是以软件形式存在于计算机内部的计算机，其能够使用现有操作系统中的操作系统在安全、隔离的环境中执行相关操作或运行相关程序。

4、避免点击不明来历的邮件

PDF文件通常通过电子邮件发送，因此，这类恶意PDF文件也往往通过邮件的形式进行传播。

Google的Gmail、Apple的iCloud等主流电子邮件提供商，都会扫描电子邮件附件中的潜在的病毒，但仍然会有更为巧妙、更为新颖、更为隐匿的病毒躲过监测。

所以，在收到不明来历的邮件时，不要打开带有PDF文件拓展名的附件，更应避免下载或打开PDF文件，因为嵌入病毒的恶意文件一旦被点击，就会立即部署恶意软件，最终导致加密资产等财产损失。

PDF文件下载

5、使用浏览器的内置 PDF 阅读器

Google Chrome、Firefox、Safari和Microsoft Edge等最广泛使用的浏览器都内置了 PDF 阅读器，这些浏览器中内置的PDF阅读器有一个沙盒，可以保护设备免受PDF文件潜存的许多威胁。

要使用浏览器PDF阅读器，需要将其设置为PDF文件的默认阅读器，或者卸载其他PDF阅读器。

SAFEIS，让区块链更安全！SAFEIS是国际知名的创新型区块链生态安全服务平台，基于数据、智能、网络安全、图计算等多种核心技术打造，具有完备的数据处理和精准追溯能，服务对象涵盖全球诸多知名公司和项目。