2月20日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,全球最大的加密數字藏品市場 opensea 遭遇了駭客攻擊。
根據opensea官方的回覆,本次事件由駭客趁著 opensea 合約升級之時,給所有使用者的郵箱傳送了一封釣魚郵件,而不少使用者錯把其當作官方郵件而將自己的錢包授權,進而導致錢包被盜,目前opensea 已經排除了合約遷移工具是攻擊載體的可能性。 opensea 的聯合創始人兼執行長 devin finzer 發推說攻擊者竊取了價值 170 萬美元的以太幣。
「釣魚攻擊」,在網際網路世界摸爬滾打的你肯定不陌生,在區塊鏈領域裡,這種古老的攻擊的方式仍然存在,並蔓延到了nft資產領域。你的nft還安全嗎?opensea“釣魚攻擊”事件又給我們哪些啟示?
1 nft資產被盜事件為何仍有發生
先是去年3月17日,nft交易市場nifty gateway的數名使用者遭遇了賬號被盜,有受害者稱,駭客從其帳戶中竊取了價值數千美元的數字藝術品;其他被駭客入侵的使用者稱,他們存檔的信用卡被用來購買額外的nft。
而在今年1月10日,紐約藝術品藏家兼畫廊主託德·克拉默(todd kramer)曾發文尋求幫助,他有超過220萬美元的nft藝術品被盜,引發關注。隨後,nft交易平臺opensea透過阻止對該系列作品的進一步交易來施加干預。
接著2月1日,一位nft收藏大戶larrylawliet.eth在社交媒體表示,其持有的多隻無聊猿猴遊艇俱樂部(bored ape yacht club)、變異猿猴遊艇俱樂部(mutant ape yacht club)以及doodles nft等系列價值不菲的nft藏品被駭客盜取。該收藏大戶表示,造成本次失竊的直接原因是自己錢包的隱私資訊洩漏。
可見隨著部分nft的收藏價值越來越高,駭客也開始覬覦使用者的錢包,將使用者的nft洗劫一空,這也是nft資產被盜事件時常發生的原因。
2 你的nft夠安全嗎?
當談到 nft 智慧合約本身的安全性時,事實證明它們能夠更好地抵禦攻擊,因為nft 智慧合約通常比可替代代幣的智慧合約包含更簡單的程式碼。此外,nft 生態系統不像 defi 那樣複雜,這也將駭客威脅降至最低。
目前nft的風險可大致分為兩類:
一是nft本身的授權問題(nft持有者可授權其它地址作為代理人),可能因nft持有者的誤操作,導致nft許可權被劫持(主要是釣魚網站、錢包層面的不安全介面呼叫);
二是nft參與defi系統後引入的外部風險,如:nft質押挖礦合約本身所帶來的安全風險,這部分與常規defi風險基本一致。
3 如何保護自己的nft?
nft這波熱潮吸引了無數人,當然,除了警惕nft炒作之外,還需要防範各類nft騙局套路,最近一年與nft有關的詐騙數量和範圍也呈現出現爆炸性增長,大家還需要多加防範。小心釣魚陷阱、過度包裝詐騙、社交媒體詐騙、贈品/空投騙局等等。
1、釣魚陷阱/偽造nft平臺
騙子複製當紅nft零售網站,這些網站看起來與原始網站完全一樣,這類網站會獲取使用者的賬號和銀行卡資訊,進而形成詐騙。當然,還有一些所謂的nft商店,就是一個空殼,他們在商店中向使用者出售根本不存在的產品。
2、假冒藝術家發售nft騙局
有些專案方因為沒有得到藝術家或者明星的授權,比如名畫或者歌曲,他們就假冒藝術家,偽造假的nft,使用者需要謹慎購買或出價,因為沒有授權的nft,其實也沒有收藏價值,是不被認可的。
3、社交媒體騙局
詐騙分子在加密社羣或者社交媒體推特、telegram、微信群、qq群等實施詐騙行為,比如他們會假扮客服,或者透過回答你的問題來獲取信任,最後再來套路你。
4、贈品/空投騙局
虛假nft就是冒牌,假限量真增發。由於nft的內容載體是公開的,偽造基本是沒有成本的,導致造假者不斷。此外,騙子們大範圍免費空投nft,誘騙數字錢包授權或私鑰,趁機竊取使用者資產。
擴充套件閱讀:撲克nft、乒乓球nft、計算器nft......如何警惕那些炒作過度的nft?
4 寫在最後
駭客虎視眈眈,使用者資產頻繁被盜,這都凸顯了這個尚未受到監管的nft交易市場的風險所在。在安全之路上,nft要走的道路還很遠。
宣告:本文不代表任何投資建議
