# 分享一次在Opensea上被钓鱼的经历

By [Modashi.eth](https://paragraph.com/@modashi) · 2022-08-23

---

作为一个投资NFT的小白用户，最近我亏了不少钱，细想起来很大一部分原因都是因为产品设计问题所导致的，下面来总结梳理一下最近踩过的安全坑。

前阵子为了参与打新，我在Gem.xyz的mints页面中上找到了一个叫做 Ghostlab的项目，因为没有足够的经验，本以为Gem.xyz作为Opensea家的产品应该会推送有安全保障的项目。

![](https://storage.googleapis.com/papyrus_images/59363d357c3be4929d9a33e4e1dc224626c814c48d511113e3d1a859feaf13a2.png)

结果进到NFT collection的项目之后去到官网点开了描述当中的官网以及推特，钓鱼的推特居然比真账号还多，然后想当然的做了mint的交互。

![](https://storage.googleapis.com/papyrus_images/ccb1d6fb578324b124bd67b04689a7f74c50adab3751b5ec09d25a1b6b7ae0a7.png)

交互的时候metamask给了一个 set approve for all 的提示，要求索取权限，当时其实metamask已经给了红色的notification，但是我却被free mint冲昏了头脑，坚持交互，而且mint了3波，结果交互完的时候却发现蹊跷，遂去查看自己的钱包，发现钱包中最值钱的NFT已经丢失。

![](https://storage.googleapis.com/papyrus_images/03dfc5c98ba3cd024c32149c44b39d4222d387276658ec28eb5f98f42992dcb5.png)

发生这件事情后，我和Opensea联系锁定了NFT，但是黑客很快就转卖了这个NFT。在Opensea举报之后，该NFT和我的账号均被冻结。

诈骗Collection至今未被Opensea冻结。

第二天找朋友从Etherscan上关闭对应的权限，转移部分资产，终于此事告一段落。

黑客继续逍遥法外。

总结一下，整个的环节中出现问题主要是几个步骤：

1.  Gem.xyz 的推荐问题。作为NFT marketplace届的龙头Opensea收购的龙头NFT aggregator，居然给用户推荐钓鱼网站并且不做任何的风险提示。
    
2.  Opensea作为最大的交易平台，不给用户提供任何的钓鱼提示预警。
    
3.  在Metamask给推荐后fomo了，用户体验设计上没有得到足够的警示信息。
    
4.  在失窃后第一时间不知道如何处理，平台没有提供足够的安全教育和方便的求助入口。
    
5.  Opensea的客服事后处理因为时差相应迟钝，态度傲慢。
    

总体而言，对于一个估值130亿美金的独角兽，解决以上提到的1/2/4/5问题应该不是难事。而且这些应该是用户反复遇到的普遍问题。

但是中心化Opensea没有做，我只能理解成他们不是站在用户这一边的。

作为NFT交易市场龙头，为什么不对推荐的网站进行筛选，防止用户上当受骗，如果没有能力筛选，在网站设计上应该提示用户交互的风险。

举个例子，同类打新网站当中 911NFT 和 Mycointool 都有对应的风险提示，Gem 为什么不做呢？

![](https://storage.googleapis.com/papyrus_images/a352541cc95536ec954ba85ee439f7b24cd719bd757c5c7e76b1c45be0fb4a41.png)

![](https://storage.googleapis.com/papyrus_images/8625a9e9033956d94272233ffb2c766729a076f8ae7050c9b8684f74fb7b3b80.png)

Opensea 作为最大的龙头NFT交易市场，在面对钓鱼网站的时候在接到报案的时候为什么迟迟不查封有问题的collection，让对方持续诈骗至今？在有用户举报的时候为什么对新用户提示风险呢？立自己去中心化的牌坊吗？

在设计上，用户失窃之后的第一时间一定是非常着急的，那么Opensea把报案的入口放在这么隐蔽的位置让用户找不到，没有办法缓解用户的焦虑情绪。这一点的设计上是失败的。

再来谈谈metamask的产品问题：

1.  既然已经判断了钓鱼风险，为什么还允许用户继续点击操作？
    
2.  如果有问题，为什么警示的标记不设计的更加明显一些？
    
3.  既然是风险操作为什么不加入double confirm？
    

最后，收起我作为普通用户的忿忿不平。

作为NFT市场龙头的Opensea 和 Crypto支付龙头的 Metamask 在产品和设计上犯下了低级的错误，对待用户的没有足够的同理心。

希望有一天能有用户思维的产品能够超越 Opensea 和 Metamask 杜绝此类问题，给大家带来一个更加安全的Web3环境。

---

*Originally published on [Modashi.eth](https://paragraph.com/@modashi/opensea)*