Bilyon-bilyong Nawawala Taon-taon sa NFT Scam
Ayon sa datos ng Chainalysis, ang NFT fraud at pagnanakaw noong 2022 lang ay lumampas sa $100 milyon — at mas mataas pa ang totoong bilang dahil maraming biktima ang tahimik na lang. Sa mundo ng NFT, walang customer service at walang "cancel" button. Kapag na-scam, halos imposible nang mabawi. Ang pag-alam sa mga trick ang unang hakbang para maprotektahan ang sarili.
Nilalaman
- Rug Pull (Tumakas ang Team)
- Fake NFT (Copycat Collections)
- Phishing (Pekeng Website / Discord)
- Malicious Approval (setApprovalForAll)
- Fake Airdrop
- Celebrity Scam
- Wash Trading
- Social Scam (Pekeng Support)
- Sino ang Madalas Na-tatarget
- Safety Behavior Checklist
- Mga Danger Signal — Itigil Agad
- Mga Madalas Itanong
- Mga Sanggunian
1. Rug Pull (Tumakas ang Team)
Ang "rug pull" ay literal na "hila ng banig" — nakatayo ka, biglang hinila ang banig, at bumagsak ka. Sa NFT, ang team ay nag-hype, nangako ng malaki, at nagbenta ng maraming NFT — pagkatapos, basta na lang naglaho: na-delete ang social media, nag-shutdown ang website, at nabuwag ang Discord server. Lahat ng pera, nawala.
Tunay na halimbawa
Ang Frosties NFT noong 2022: nangako ang team ng metaverse game at mga raffle, nagbenta ng 8,888 NFT, tapos kinuha ang mga $1.3 milyon. Naaresto ng FBI ang dalawang founder, pero karamihan ng rug pull scammer ay hindi nahuhuli.
Paano makilala
- Anonymous team: Walang miyembrong nagpapakita ng tunay na identity (doxxed); walang mahanap sa LinkedIn.
- Sobrang ambisyosong roadmap: Gagawa ng game, maglalabas ng token, magtatayo ng metaverse — pero 3 katao lang ang team.
- Hindi open-source ang contract: Hindi ma-verify kung may "backdoor."
- Pinipilit ang minting: Walang tigil na FOMO — "huling 2 oras!", "100 na lang!"
- Kino-kontrol ang community: Agad binubura o bina-ban ang anumang tanong o pag-aalinlangan.
2. Fake NFT (Copycat Collections)
Sa OpenSea at iba pang marketplace, kung maghahanap ka ng Bored Ape, baka makakita ka ng sampung magkakaparehong series. Kinokopya ng scammer ang larawan at pangalan ng kilalang project, gumagawa ng fake contract, at ibinebenta nang mura para isipin mong nakahuli ka ng "tipid."
Ang totoong BAYC ay umabot sa floor price na 100+ ETH noong peak. Kung may magsabing 0.05 ETH lang — sigurado, peke iyon.
Paano makilala
- I-check ang verification mark: Naglalagay ang OpenSea at iba pa ng blue check sa opisyal na series.
- I-verify ang contract address: Kunin sa opisyal na website o Twitter/X ang contract address, at ikumpara nang titik-por-titik.
- Tingnan ang creation date at volume: Ang fake series ay kadalasang bago lang gawa at mababa ang volume.
- Sobrang babang presyo: Kung mas mababa nang husto sa floor price — malamang peke.
3. Phishing (Pekeng Website / Discord)
Ito ang pinaka-madalas na trick sa NFT. Gumagawa ang scammer ng site na halos kapareho ng tunay, isang titik lang ang pagkakaiba ng domain (tulad ng "0pensea.io" imbes na "opensea.io"), tapos ipinapakalat via Discord DM, Twitter/X comment, o phishing email.
Pumasok ka, nag-connect ng wallet, akala mong nag-mint ka — pumirma ka pala ng transaksyon na naglilipat ng lahat ng NFT mo sa scammer.
Paano i-check ang URL
- Manu-manong i-type: Huwag i-click ang link na ipinadala ng iba; ikaw mismo ang mag-type ng address.
- Suriin ang domain: Pansinin ang pagkakaiba ng
lat1,oat0,rnatm. - I-check ang protocol: Dapat
https://— pero hindi ito garantiya, may SSL din ang mga scammer. - Gumamit ng bookmark: I-bookmark ang mga ginagamit mong site at doon lang dumaan.
4. Malicious Approval (setApprovalForAll)
Ito ang pinaka-teknikal at pinakatago na trick. Kapag nakipag-interact ka sa isang smart contract, magpo-pop up ang MetaMask ng authorization request. Karamihan ay basta na lang nag-click ng "Confirm" — pero kung ang ina-approve mo ay setApprovalForAll, ibinigay mo na ang karapatang ilipat ang LAHAT ng NFT sa isang collection sa kabila.
Pagkakuha ng approval, pwede nang kunin ng scammer ang NFT mo anumang oras, nang hindi mo na kailangang muling pumirma.
Paano mag-ingat
- Basahin ang pop-up ng MetaMask: Kapag may
setApprovalForAll, mag-ingat. - Gumamit ng Revoke.cash: Regular na suriin at i-revoke ang hindi kailangang approval. Pumunta sa revoke.cash, i-connect ang wallet, at makikita mo ang lahat ng approval.
- Ihiwalay ang hot at cold wallet: Itago ang mahahalagang NFT sa cold wallet; gamitin ang hot wallet sa pang-araw-araw.
- Gumamit ng transaction simulation: May mga browser tool na nagpapakita ng resulta bago ka pumirma.
setApprovalForAll ay parang ibinigay mo ang susi ng bahay mo sa estranghero at sinabing "pwede kang pumasok anumang oras at kunin ang gusto mo." Kahit hindi mukhang masama ngayon, pwede ka niyang ubusan ng laman kahit kailan.5. Fake Airdrop
Isang araw, binuksan mo ang wallet at may bagong NFT na hindi mo binili — baka may pangalang "Claim 10 ETH at xxx.com" o mukhang mamahaling series. Huwag mong i-click.
Ang mga NFT na ito ay maaaring may nakatagong malicious code. Kapag sinubukan mong ibenta, ilipat, o kahit tingnan lang ang detalye (kung mag-trigger ito ng contract interaction), maaaring ma-activate ang setApprovalForAll o direktang nakawan ka.
Tamang gawin
- I-ignore nang buo: Huwag i-click, huwag ilipat, huwag subukang ibenta.
- I-hide sa marketplace: Kung nakakairita sa tingin, pwede mo itong itago, pero huwag makipag-interact sa contract.
- Huwag bisitahin ang URL sa pangalan ng NFT: 100% phishing site iyon.
6. Celebrity Scam
Gumagawa ang scammer ng social media account na halos kapareho ng celebrity, o nagpapanggap sa comment section para i-promote ang isang project. Mas advanced pa: deepfake video na "sinasabi" mismo ng "celebrity" na "nag-invest ako rito."
Noong 2022, maraming celebrity ang nakasuhan dahil nag-promote ng NFT project — kasama ang ilang totoong tumanggap ng bayad para mag-endorso ng basura.
Paano i-verify
- Tingnan ang verification mark: Hindi na masyadong maaasahan ang blue check sa Twitter/X (nabibili na ito); tingnan ang follower count at history.
- Pumunta sa opisyal na channel ng celebrity: Kung totoong nag-promote siya, may impormasyon doon.
- Mag-ingat sa deepfake: Matigas ang ekspresyon, hindi sync ang labi, malabo ang background — baka peke.
- Celebrity endorsement ≠ maganda ang project: Kahit totoo, hindi ibig sabihin sulit. Maraming celebrity na tumatanggap ng bayad at nag-po-promote nang hindi alam ang project.
7. Wash Trading
Gumagawa ang team o malalaking holder ng maraming wallet, at sila-sila na lang ang nag-bebentahan para gawing mukhang "sikat" ang series. Nakita mong 500 ETH ang volume sa 24 oras, akala mo totoong demand, sumabak ka — naging "bag holder" ka pala.
Paano makilala
- Tingnan ang on-chain data: Gamitin ang Etherscan para subaybayan ang history. Kung paulit-ulit lang sa iilang wallet.
- Gumamit ng analytics tool: May wash trading detection ang NFTGo.
- Bantayan ang bilang ng unique buyer: Mataas na volume pero kakaunting unique buyer = hinala ng wash trading.
- Suriin ang price spread: Ang wash trading ay paulit-ulit sa halos parehong presyo; ang tunay na market ay may price movement.
8. Social Scam (Pekeng Support)
Nagtanong ka sa Discord, makalipas ang ilang minuto may nag-DM: "Official support ako, tutulungan kita. Pakipadala ang seed phrase mo / paki-click ang link na ito para i-verify ang wallet mo."
Congrats, nakatagpo ka ng scammer.
Discord man, Telegram, o Twitter/X, sinumang "support," "admin," o "official staff" na mag-DM sa iyo ay scammer. Ang opisyal na anunsyo ay sa opisyal na channel lang lumalabas.
- Isara ang Discord DM: Sa server settings, i-off ang "allow direct messages from server members."
- Huwag i-type ang seed phrase kahit saan: Walang lehitimong dahilan para i-type online ang 12/24 na salita.
- Mag-ingat sa "verification" bot: Ang tunay na Discord verification ay Captcha, hindi nagpapa-connect ng wallet.
- I-check ang pangalan ng admin: Ginagaya ng scammer ang pangalan pero iba ang ID. Kapag hindi sigurado, mag-@ sa public channel para kumpirmahin.
Sino ang Madalas Na-tatarget
Mas nasa panganib kung…
- Bago ka pa lang at hindi pa pamilyar sa wallet pop-up
- Madali kang ma-FOMO sa "limited" o "huling oras"
- Hindi mo binabasa ang nilalaman ng signature bago pumirma
- Gumagamit ka ng iisang wallet para sa lahat ng galaw
Mas ligtas kung…
- Manu-mano kang nag-type ng URL o gumagamit ng bookmark
- Hiwalay ang cold wallet mo para sa mahahalagang asset
- Regular kang nag-re-revoke ng approval (buwan-buwan)
- Hindi ka naniniwala sa "guaranteed na tubo" at DM offers
Safety Behavior Checklist
I-tatak sa DNA ang mga gawing ito — makakaiwas ka sa 99% ng scam:
- ☐ Hindi ko ibinabahagi ang seed phrase / private key — kahit kanino, kahit anong sitwasyon
- ☐ Hindi ko kini-click ang link sa DM — kahit sino pa ang nag-claim na sila
- ☐ Manu-mano kong tina-type ang URL o bookmark — hindi galing sa search ad o social media
- ☐ Binabasa ko ang MetaMask pop-up bago pumirma — nakikita ko ang pinipirmahan ko
- ☐ Gumagamit ako ng Revoke.cash buwan-buwan — para i-check ang approvals
- ☐ Hiwalay ang hot at cold wallet ko — sa cold ang mahalaga
- ☐ Ini-ignore ko ang unknown NFT sa wallet — hindi ko ini-interact
- ☐ Vinerify ko ang identity ng team — anonymous team = red flag
- ☐ Hindi ako kumikilos dahil sa FOMO — ang scammer ang gumagawa ng "urgency"
- ☐ Naka-off ang Discord DM ko sa estranghero
Mga Danger Signal — Itigil Agad
Itigil ang lahat at huwag pumirma kapag may nakita kang kahit isa sa mga ito:
- May humihingi ng seed phrase o private key — walang exception, scam ito.
- Pinipilit kang magmadali ("ngayon lang!", "ubos na!") — paraan ito para hindi ka makapag-isip.
- "Guaranteed returns," "risk-free," "official partner" — walang ganito sa tunay na NFT.
- Hindi mo mahanap o iba ang contract address sa opisyal na channel.
- May "official" na nag-DM sa iyo — ang totoong opisyal ay hindi nag-DM.
- Lumalabas sa MetaMask ang
setApprovalForAllna hindi mo sigurado kung bakit — tanggihan.
Mga Madalas Itanong
Kung na-scam ako, mababawi ko pa ba ang pera?
Sa karamihan ng kaso, hindi. Ang blockchain transaction ay irreversible, at gumagamit ang scammer ng anonymous wallet kaya mahirap subaybayan kahit mag-report ka sa pulis o sa PNP Anti-Cybercrime Group. May iilang malalaking kaso (tulad ng Frosties, kung saan inaresto ng FBI ang founder) na may nabawi, pero halos walang pag-asa ang ordinaryong user. Mas mahalaga ang pag-iwas kaysa pagbawi.
Paano malalaman kung scam ang isang NFT project?
Walang 100% na paraan, pero i-check ang mga ito:
- Bukas ba ang identity ng team (doxxed) — may totoong tao ba sa LinkedIn
- Open-source ba ang contract at na-audit ng third party
- Tunay ba ang community interaction — may usapan ba o puro "GM/LFG" lang
- Makatuwiran ba ang roadmap — 5-tao na team na mangangakong gagawa ng AAA game? Huwag maniwala
- May kilalang investor o partner ba — pero i-verify pa rin
Kung lahat ng ito ay malabo, sobrang taas ng panganib. Tingnan ang aming gabay sa pag-evaluate ng project.
Makakaiwas ba ako sa scam kung hardware wallet ang gamit ko?
Pinoprotektahan ng hardware wallet (tulad ng Ledger, Trezor) ang private key mo — kahit ma-malware ang computer mo, hindi makukuha ng hacker ang private key. Pero hindi ka nito mapoprotektahan kapag ikaw mismo ang pumirma ng malicious transaction. Kung nag-approve ka ng setApprovalForAll sa phishing site, makukuha pa rin ang NFT mo. Ang pinakamabuti: hardware wallet + safety awareness — kailangan pareho.
Mga Sanggunian
- etherscan.io — pagsuri ng on-chain transaction at contract verification
- nftgo.io — analytics at wash trading detection
- metamask.io — seguridad ng wallet at pag-iwas sa phishing
- ledger.com — hardware wallet para sa karagdagang proteksyon
Handa nang magsimula nang ligtas?
Bago bumili ng NFT, magsisimula ka sa isang regulated exchange para bumili ng crypto. I-verify mo mismo ang opisyal na domain bago mag-register, at i-on agad ang 2FA.
Pumunta sa Binance Official Registration
Hindi mag-DM ang opisyal na Binance, hindi humihingi ng transfer sa "safe account." Ang fees at rules ay ayon sa aktwal na Binance page.