170 万美元的 NFT 被盗:细节成谜,加密也能轻松破防
170 萬美元的 NFT 被盜:細節成謎,加密也能輕松破防
有爆料稱,上周六,NFT 交易平台 OpenSea 的用戶被攻擊者竊取了數百個 NFT,此事件在該網站廣大用戶群中引發了深夜恐慌。大約 3 個小時內,共有 254 枚代幣被盜,Opensea 聯合創始人兼首席執行官德文·芬澤(Devin Finzer)稱該網站目前良好,並表示“據我們所知,受影響的人是‘網絡釣魚攻擊’的受害者。”
區塊鏈安全服務機構 PeckShield 編制的一份電子表格統計了攻擊過程中被盜的 254 枚代幣,其中包括 Decentraland 和 Bored Ape Yacht Club 的代幣。
大部分攻擊發生在美國東部時間下午 5 點至 8 點之間,目標總共是 32 名用戶。據業內人士估計,被盜代幣的價值超過 170 萬美元。
“他們都有有效簽名”
這次攻擊似乎利用了 Wyvern 協議的靈活性,Wyvern 協議是大多數 NFT 智能合約(包括 OpenSea 上的合約)的開源標准。OpenSea CEO 德文·芬澤(Devin Finzer)在 Twitter 上從兩個方面解釋了此次攻擊:首先,目標公司簽署了一份部分合約,獲得了一般授權,合約大部分內容處於留白狀態。簽名到位後,攻擊者通過調用自己的合約來完成合約,該合約在不付款的情況下轉讓了 NFT 的所有權。本質上,被襲擊目標簽署了一張空白支票——一旦簽署,攻擊者就可以填寫支票的其余部分,並拿走他們的財產。
OpenSea CTO Nadav 發推表示受攻擊者均具備有效簽名
“我檢查了每筆交易,”一位名叫 Neso 的用戶說。“他們都有丟失 NFT 的有效簽名,因此,任何聲稱他們沒有被網絡釣魚就丟失 NFT 的說法都是站不住腳的。”
在最近的一輪融資中,OpenSea 價值 130 億美元,已成為 NFT 熱潮中最有價值的公司之一,它為用戶提供了一個簡單的界面,可以在不直接與區塊鏈交互的情況下列出、瀏覽和競價代幣。這一成功帶來了重大的安全問題,因為該公司一直在與利用舊合約或有毒代幣竊取用戶寶貴財產的攻擊作斗爭。
攻擊發生時,OpenSea 正在更新其合約系統,但 OpenSea 否認攻擊源自新合約。目標數量相對較少,不太可能出現這種漏洞,因為更廣泛平台中的任何漏洞都可能被更大規模地利用。
盡管如此,攻擊的許多細節仍不清楚——尤其是攻擊者用來讓目標簽署半空合約的方法。美國東部時間凌晨 3 點前不久,Devin Finzer 在 Twitter 上寫道,這些攻擊並非源於 OpenSea 的網站、各種上市系統或該公司的任何電子郵件。攻擊的速度很快,在幾個小時內進行了數百次交易——表明存在某種常見的攻擊媒介,但迄今為止尚未發現任何聯系。
NFT 頻頻出事
“NFT 正處於 ICO(首次代幣發行)階段,任何人都可以雇用藝術家來創造一定數量的 NFT,然後與加密領域的網紅大肆炒作。”區塊鏈公關公司 Light Node Media 的聯合創始人兼 CEO Nelson Merchan Jr. 認為。這樣的炒作使人們很難辨別,到底誰是值得信賴的創作者或誰是騙子。現在 NFT 收藏者和創作者都使用著流行的 NFT 圖片(PFP),並且在 Twitter 上匿名,這就使得騙局更難以被識破。
因此,容易受騙的並不只有新手。加密貨幣的自身投資者與收藏家身價暴跌的例子並不在少數。
常見的 NFT 騙局
過去一年中,NFT 的總價值已飆至數十億美元,成為加密貨幣行業的重要部分。一些頂級收藏品(如 Cool Cats 和 Bored Ape Yacht Club)的交易價格超過了 30,000 美元。隨著 NFT 的蓬勃發展,加密領域的騙局也變得越來越復雜莫測,學習如何規避它們就變得十分重要。
1、釣魚詐騙與彈窗
在購買加密貨幣前,通常需要注冊一個基於以太坊區塊鏈進行交易的錢包。MetaMask 可能是最受 NFT 收藏者歡迎的以太坊錢包。然而,MetaMask 的用戶最近成為了一個網絡釣魚騙局的目標,該騙局借助虛假廣告信息,要求用戶提供私人錢包鑰匙。
或者通過 Discord、Telegram 和其他公共論壇彈出惡意虛假廣告窗口,鏈接到類似 MetaMask 或其他錢包網站的頁面。如果不懷好意者通過網絡釣魚獲得了買家的私人信息,他們便可以轉移其數字錢包中的所有加密貨幣。
2、虛假信息
NFT 的交易過程是虛擬的,所有營銷都在社交媒體上進行。因此用戶很容易被“鯰魚”(指在社交媒體上使用虛假身份的欺詐者)欺騙。許多備受歡迎的 NFT 社區通常雇用網紅和名人進行推廣,使得騙局真假莫辨。
如果聲稱是創始人、名人或網紅給你發了消息,請不要回應。NFT 世界中的一條潛規則是,加密社區高層永遠不會給用戶直接發送私信,除非你先私信了他們,或者你們在諸如 Twitter 或 Discord 的公共平台上就某件事看法一致。
3、拋售圈套
在加密貨幣和 NFT 領域,拋售圈套已經成為了一種現象。當一個 NFT 項目擁有了更多買家,就有了更多流動性,賠率就會變小。一部分人故意買下一堆 NFT 或者加密貨幣,人為地推動需求大幅上升。一旦成功,騙子就會在價格高漲時套現,只把毫無價值的資產留給其他買家。
某收藏者稱,“如果一個項目中,5000 個 NFT 被 20 個頂級收藏者控制了,並且他們都沒有要出售它們的意思,那麼其他想要買入該系列藏品的人,都必需以非常高的底價買入。”
4、競價騙局
競價騙局主要發生在二級市場上。購買了 NFT 後,你會想要將它轉賣給出價最高的人。當你公開銷售 NFT 的時候,競標者可能會在不告知你的情況下,調換所使用的貨幣。很可能原本以 5ETH 出售的 NFT,最後以 5 美元的價格成交。因此,請仔細檢查交易時所使用的貨幣種類,不要接受低於你預期的出價。
5、贋品 NFT
OpenSea 具有適合新手操作的易用性,因此任何人都可以將任意照片或圖像變成 NFT,即便他們不擁有該圖像的知識產權。騙子很容易就能竊取藝術家的作品,注冊假冒的 OpenSea 賬戶,拍賣假的藝術品。將一件藝術品鑄成 NFT 並不等於擁有它的知識產權(IP)所有權。
在購買 NFT 之前,請做好調查,確保自己是從正規賬戶購買藝術品。這些正規賬戶通常會具有藍色的認證標志。
6、缺乏認證的儲存網站
買家購買的 NFT 可能會消失不見,因為基於區塊鏈(NFT)的合約與實際的藝術品是不同的。假如你把原創音樂以 MP3 格式上傳到了 OpenSea 一類的平台上,如果收藏者想購買它,就會用 ether 進行支付,這樣,一種被稱為“智能合約”的所有權記錄就被創造了出來。
要將藝術品、房契或其他涉及到智能合約的內容儲存在一個去中心化的平台,請確認這個平台是可信賴的。請不要購買僅僅鏈接到一個帶有圖片的 URL 的 NFT。因為該 URL 上存儲的頁面或藝術品可以在未經你允許的情況下隨時更改。
避開 NFT 騙局的有效方式
此外,這裡還整理了一些防范騙局的基本操作,可以幫 NFT 玩家將投資風險降至最低。
1、保管好私人密鑰
騙子會在 Discord 鏈接中索要用於鑄造 NFT 的加密貨幣,得到之後就會卷錢溜掉,因此不要把自己的密鑰發給任何人。在 Twitter 和電子郵件中,騙子也會索要密鑰。專家建議人們購買冷錢包,比如 Ledger 和 Trezor 這類可以插在電腦上的固態 USB,它們比線上存儲更加安全。采用冷錢包就不用把助記詞輸入瀏覽器了,從而能夠更好保護自己。當然你也可以采用雙向驗證,設置更復雜的密碼。
2、關閉 Discord 私聊
專家建議人們最好直接關閉 Discord 的私聊功能。另外,當你需要幫助的時候,最好的辦法是聯系 NFT 交易網站的客服,而不是社區中的其他人。如果騙子獲得了管理員權限,就可以在公告頻道發布虛假鑄幣鏈接,描述得就像天上掉餡餅一樣。比如:“鑑於大量的公眾需求,我們將發放一千余個 NFT”等等,多數情況下,騙子故意用已售出的藏品行騙。但是真正的項目會通過指定渠道公布動態。
3、警惕空投
騙子可能會空投虛假代幣給你。虛假代幣經常會空投到自己的線上錢包裡。代幣以網頁鏈接的形式命名,誘導用戶進入釣魚網站。任何人都可以隨時隨地向任意用戶發送代幣,而錢包是被動接收的,就像電子郵件的收件箱一樣,最好的辦法就是無視它。
但虛假空投也起到一定的篩選作用,如果騙子用沒有價值的收藏品創建了項目,並空投到用戶的錢包裡,用戶就可以辨別出這個項目是有水分的。
寫在最後
NFT 可謂能確權一切。以區塊鏈為基礎,NFT 在不可篡改、公開透明、可溯源的特點上,增加了獨一無二的特性。天然的收藏屬性使其首先得以與藝術品掛鉤,但也可映射房產、土地、汽車等實物,甚至是虛擬資產。但任何新技術的發展都有一個由粗到細的發展歷程。就安全方面,目前 NFT 已經出現了版權、重復銷售、失竊和存儲等問題,入局玩家不得不防。
來源:51CTO技術棧