170 万美元的 NFT 被盗:细节成谜,加密也能轻松破防

作者阿里云代理 文章分类 分类:新闻快递 阅读次数 已被围观 746

有爆料称,上周六,NFT 交易平台 OpenSea 的用户被攻击者窃取了数百个 NFT,此事件在该网站广大用户群中引发了深夜恐慌。大约 3 个小时内,共有 254 枚代币被盗,Opensea 联合创始人兼首席执行官德文·芬泽(Devin Finzer)称该网站目前良好,并表示“据我们所知,受影响的人是‘网络钓鱼攻击’的受害者。”

区块链安全服务机构 PeckShield 编制的一份电子表格统计了攻击过程中被盗的 254 枚代币,其中包括 Decentraland 和 Bored Ape Yacht Club 的代币。

大部分攻击发生在美国东部时间下午 5 点至 8 点之间,目标总共是 32 名用户。据业内人士估计,被盗代币的价值超过 170 万美元。

“他们都有有效签名”

这次攻击似乎利用了 Wyvern 协议的灵活性,Wyvern 协议是大多数 NFT 智能合约(包括 OpenSea 上的合约)的开源标准。OpenSea CEO 德文·芬泽(Devin Finzer)在 Twitter 上从两个方面解释了此次攻击:首先,目标公司签署了一份部分合约,获得了一般授权,合约大部分内容处于留白状态。签名到位后,攻击者通过调用自己的合约来完成合约,该合约在不付款的情况下转让了 NFT 的所有权。本质上,被袭击目标签署了一张空白支票——一旦签署,攻击者就可以填写支票的其余部分,并拿走他们的财产。

OpenSea CTO Nadav 发推表示受攻击者均具备有效签名

“我检查了每笔交易,”一位名叫 Neso 的用户说。“他们都有丢失 NFT 的有效签名,因此,任何声称他们没有被网络钓鱼就丢失 NFT 的说法都是站不住脚的。”

在最近的一轮融资中,OpenSea 价值 130 亿美元,已成为 NFT 热潮中最有价值的公司之一,它为用户提供了一个简单的界面,可以在不直接与区块链交互的情况下列出、浏览和竞价代币。这一成功带来了重大的安全问题,因为该公司一直在与利用旧合约或有毒代币窃取用户宝贵财产的攻击作斗争。

攻击发生时,OpenSea 正在更新其合约系统,但 OpenSea 否认攻击源自新合约。目标数量相对较少,不太可能出现这种漏洞,因为更广泛平台中的任何漏洞都可能被更大规模地利用。

尽管如此,攻击的许多细节仍不清楚——尤其是攻击者用来让目标签署半空合约的方法。美国东部时间凌晨 3 点前不久,Devin Finzer 在 Twitter 上写道,这些攻击并非源于 OpenSea 的网站、各种上市系统或该公司的任何电子邮件。攻击的速度很快,在几个小时内进行了数百次交易——表明存在某种常见的攻击媒介,但迄今为止尚未发现任何联系。

“NFT 正处于 ICO(首次代币发行)阶段,任何人都可以雇用艺术家来创造一定数量的 NFT,然后与加密领域的网红大肆炒作。”区块链公关公司 Light Node Media 的联合创始人兼 CEO Nelson Merchan Jr. 认为。这样的炒作使人们很难辨别,到底谁是值得信赖的创作者或谁是骗子。现在 NFT 收藏者和创作者都使用着流行的 NFT 图片(PFP),并且在 Twitter 上匿名,这就使得骗局更难以被识破。

因此,容易受骗的并不只有新手。加密货币的自身投资者与收藏家身价暴跌的例子并不在少数。

过去一年中,NFT 的总价值已飙至数十亿美元,成为加密货币行业的重要部分。一些顶级收藏品(如 Cool Cats 和 Bored Ape Yacht Club)的交易价格超过了 30,000 美元。随着 NFT 的蓬勃发展,加密领域的骗局也变得越来越复杂莫测,学习如何规避它们就变得十分重要。

在购买加密货币前,通常需要注册一个基于以太坊区块链进行交易的钱包。MetaMask 可能是最受 NFT 收藏者欢迎的以太坊钱包。然而,MetaMask 的用户最近成为了一个网络钓鱼骗局的目标,该骗局借助虚假广告信息,要求用户提供私人钱包钥匙。

或者通过 Discord、Telegram 和其他公共论坛弹出恶意虚假广告窗口,链接到类似 MetaMask 或其他钱包网站的页面。如果不怀好意者通过网络钓鱼获得了买家的私人信息,他们便可以转移其数字钱包中的所有加密货币。

NFT 的交易过程是虚拟的,所有营销都在社交媒体上进行。因此用户很容易被“鲶鱼”(指在社交媒体上使用虚假身份的欺诈者)欺骗。许多备受欢迎的 NFT 社区通常雇用网红和名人进行推广,使得骗局真假莫辨。

如果声称是创始人、名人或网红给你发了消息,请不要回应。NFT 世界中的一条潜规则是,加密社区高层永远不会给用户直接发送私信,除非你先私信了他们,或者你们在诸如 Twitter 或 Discord 的公共平台上就某件事看法一致。

在加密货币和 NFT 领域,抛售圈套已经成为了一种现象。当一个 NFT 项目拥有了更多买家,就有了更多流动性,赔率就会变小。一部分人故意买下一堆 NFT 或者加密货币,人为地推动需求大幅上升。一旦成功,骗子就会在价格高涨时套现,只把毫无价值的资产留给其他买家。

某收藏者称,“如果一个项目中,5000 个 NFT 被 20 个顶级收藏者控制了,并且他们都没有要出售它们的意思,那么其他想要买入该系列藏品的人,都必需以非常高的底价买入。”

竞价骗局主要发生在二级市场上。购买了 NFT 后,你会想要将它转卖给出价最高的人。当你公开销售 NFT 的时候,竞标者可能会在不告知你的情况下,调换所使用的货币。很可能原本以 5ETH 出售的 NFT,最后以 5 美元的价格成交。因此,请仔细检查交易时所使用的货币种类,不要接受低于你预期的出价。

OpenSea 具有适合新手操作的易用性,因此任何人都可以将任意照片或图像变成 NFT,即便他们不拥有该图像的知识产权。骗子很容易就能窃取艺术家的作品,注册假冒的 OpenSea 账户,拍卖假的艺术品。将一件艺术品铸成 NFT 并不等于拥有它的知识产权(IP)所有权。

在购买 NFT 之前,请做好调查,确保自己是从正规账户购买艺术品。这些正规账户通常会具有蓝色的认证标志。

买家购买的 NFT 可能会消失不见,因为基于区块链(NFT)的合约与实际的艺术品是不同的。假如你把原创音乐以 MP3 格式上传到了 OpenSea 一类的平台上,如果收藏者想购买它,就会用 ether 进行支付,这样,一种被称为“智能合约”的所有权记录就被创造了出来。

要将艺术品、房契或其他涉及到智能合约的内容储存在一个去中心化的平台,请确认这个平台是可信赖的。请不要购买仅仅链接到一个带有图片的 URL 的 NFT。因为该 URL 上存储的页面或艺术品可以在未经你允许的情况下随时更改。

避开 NFT 骗局的有效方式

此外,这里还整理了一些防范骗局的基本操作,可以帮 NFT 玩家将投资风险降至最低。

骗子会在 Discord 链接中索要用于铸造 NFT 的加密货币,得到之后就会卷钱溜掉,因此不要把自己的密钥发给任何人。在 Twitter 和电子邮件中,骗子也会索要密钥。专家建议人们购买冷钱包,比如 Ledger 和 Trezor 这类可以插在电脑上的固态 USB,它们比线上存储更加安全。采用冷钱包就不用把助记词输入浏览器了,从而能够更好保护自己。当然你也可以采用双向验证,设置更复杂的密码。

专家建议人们最好直接关闭 Discord 的私聊功能。另外,当你需要帮助的时候,最好的办法是联系 NFT 交易网站的客服,而不是社区中的其他人。如果骗子获得了管理员权限,就可以在公告频道发布虚假铸币链接,描述得就像天上掉馅饼一样。比如:“鉴于大量的公众需求,我们将发放一千余个 NFT”等等,多数情况下,骗子故意用已售出的藏品行骗。但是真正的项目会通过指定渠道公布动态。

骗子可能会空投虚假代币给你。虚假代币经常会空投到自己的线上钱包里。代币以网页链接的形式命名,诱导用户进入钓鱼网站。任何人都可以随时随地向任意用户发送代币,而钱包是被动接收的,就像电子邮件的收件箱一样,最好的办法就是无视它。

但虚假空投也起到一定的筛选作用,如果骗子用没有价值的收藏品创建了项目,并空投到用户的钱包里,用户就可以辨别出这个项目是有水分的。

NFT 可谓能确权一切。以区块链为基础,NFT 在不可篡改、公开透明、可溯源的特点上,增加了独一无二的特性。天然的收藏属性使其首先得以与艺术品挂钩,但也可映射房产、土地、汽车等实物,甚至是虚拟资产。但任何新技术的发展都有一个由粗到细的发展历程。就安全方面,目前 NFT 已经出现了版权、重复销售、失窃和存储等问题,入局玩家不得不防。

本公司销售:阿里云、腾讯云、百度云、天翼云、金山大米云、金山企业云盘!可签订合同,开具发票。