NFT:黑客虎视眈眈 资产频繁被盗 警惕NFT安全风险

“警报！警报！警报！”，一只手机躺在床头柜上，吱哇乱叫。

Michael J（以下简称MJ）熟睡中被惊醒，拿起手机一看，来自加密艺术平台Nifty Gateway出售商品警报、各个信用卡商的欺诈警报，充斥着他的手机界面。

“坏了！”MJ瞬间清醒，一下子坐起身来，火速打开Nifty Gateway准备转移资产，可惜为时已晚，他所有的NFT收藏品全被清空，黑客甚至还用MJ的数字钱包购买了价值1万美元的新NFT，一并转走了。

几分钟时间，MJ价值数十万美元的NFT藏品化为乌有，再也找不回来了。

Nifty Gateway是一家注册在美国的加密艺术品交易平台。

有人说，这种情况不能找Nifty Gateway维权吗？NFT数字作品不是锚定产权人，不可更改吗？难道没有办法吗？MJ也这么想，找到Nifty Gateway。

“由于记录了包括转账在内的所有交易，因此我知道我被盗的NFT发送到的2个具体帐户以及购买人信息。”MJ将此提供给Nifty Gateway，此时黑客在Discord频道上寻找买家。

对此，Nifty Gateway发表声明说，正在对MJ事件进行分析。“初步评估表明此事件影响有限，未受影响的帐户都启用了2FA(Two-factor-authentication双元验证法)，并且可以通过有效的帐户凭据获得访问权限。”

白帽黑客帮助MetaMask网络钓鱼攻击受害者收回11.7万美元加密货币:一位MetaMask用户遭遇网络钓鱼攻击，无意中将其私钥交给了子。一名白帽黑客成功挽救该用户钱包（持有24万美元资金）的一半资金。

Reddit用户“007happyguy”被引导填写Whitehat热线表格，并发布其详细信息。表格的另一端是一些白帽黑客。这是一项临时服务，如果有空的话，开发者可以选择回应请求。前ZenGo区块链研究员Alex Manuskin回应了请求。Manuskin做的第一件事是核实该Reddit用户拥有的钱包，并且确认其没有试图获取其他人的资金。此时他必须通过索要私钥来访问钱包。然后他确保子不能再从钱包转移走资金。为了在以太坊进行交易，用户需要一些ETH来支付交易费用。因此，他确保任何发送至该钱包的ETH都会被自动发送出去。

为了拯救剩余资金，Manuskin使用了Flashbots，这是一种支持开发人员和矿工之间通信的服务。简而言之，开发人员可以使用Flashbots向矿工发送一个交易“包”，直接包含在一个区块中，而不是向网络广播交易。

之所以有效是有两个原因。这种情况的主要原因是，如果钱包里没有任何ETH，任何零交易费用的交易都不会被任何矿工打包。使用Flashbots的情况是，进行了一项复杂的交易，将资金转移到另一个钱包，并一次性使用其他资金支付给矿工。第二个原因是它更隐蔽。如果任何交易被广播到公共网络上，者就有机会抢先交易。

Manuskin解释说，编写定制脚本和执行交易大约需要5-6个小时。时间的长短取决于交易的复杂性以及他以前是否经历过类似的情况。在子开始转移钱包资金后，Manuskin设法从钱包剩下的12万美元代币中挽救了大约11.7万美元。（The Block）[2021/7/18 0:59:49]

在境外NFT炒作浪潮里，除了价格泡沫外，参与者还会面临资产安全风险。

一加联合创始人Carl Pei推特账户遭黑客攻击，被用于宣传加密货币局:一加（OnePlus）联合创始人Carl Pei的推特账户在周二遭到黑客攻击，并被用于宣传加密货币局。该局宣称Carl Pei的新公司Nothing正在推出一种加密货币，有意投资的人可以通过向指定地址发送以太坊来参与首次代币发行。Pei随后向科技新闻网站Engadget表示，该条被迅速删除的推文是黑客攻击的结果。（Coindesk）[2021/5/25 22:42:52]

事实证明，随着NFT大热，资本快速涌入，网络罪犯也在将他们的注意力转向NFT领域。近几个月来，NFT市场蓬勃发展，数字艺术品资产被盗事件也发生的越来越频繁。

强大的元宇宙难道无法保护一张数字图片吗？为此，《链新》采访了多位一线技术人员，试图分析出NFT数字资产被盗一事背后的底层技术逻辑、隐藏问题、行业看法以及可防范措施。

2021年4月，黑客珀森从佳士得的网站上下载并伪造了Beeple的《每一天：第一个5000天》文件，然后通过Beeple钱包铸造了另一个铸币，在一个NFT平台上挂牌出售。

做完这一切，珀森在自己的网站NFTheft上，发表了一篇题为《我为什么这么做》的文章，直言:“才华横溢、经验丰富的创作者无法为他们的作品提供任何必要的保障。”，“没有任何权利或保护措施来防止他们的艺术品被盗或被误用。”

美国指控俄罗斯网络黑客通过比特币掩盖黑客活动:根据美国检察官周一发布的起诉书，俄罗斯国家网络黑客使用比特币来掩盖其与关键黑客活动“基础设施”的联系，例如服务器和域名。诉讼中提到了俄罗斯国家黑客团队的六名成员，他们涉嫌通过俄罗斯军事单位7445对公司、军队、政府和2018年冬季奥运会的数千名受害者进行了攻击。检察官还声称，他们应对2017年灾难性的“NotPetya”恶意软件攻击负责，该攻击造成了数十亿美元的损失。（coindesk）[2020/10/20]

这是黑客珀森的一场行为艺术，但他说的话却比他的行为更吸引人。

业内人士告诉《链新》，一个典型的NFT常分成两个独立的部分，存储在链上的智能合约或ERC-721标准规范，以及数字艺术品本身。目前，访问艺术品的主要模式是使用URL（网络地址），而非数字作品直接上链。

从事数字艺术品的经营的凯拉尼·尼科尔（Kelani Nichole）曾公开表示对ERC-721的质疑，称这种模式是危险的，其直言 “如果哪天NFT平台的服务器宕机了，或者他们的IPFS（分布式文件存储系统，一种常见的防护措施）节点宕机了，你花很多钱买的内容将无法访问”。?

动态 | 黑客攻击数位YouTube博主频道并利用加密大V形象进行加密:上周，YouTube博主Adam Jicha曾发推求助称，自己拥有超过31万订阅户的YouTube频道被黑了，频道中的视频也被悉数删除，他的网名“Wellden”已从该频道删除，取而代之的是币安首席执行官赵长鹏的形象。被黑的账户上只有一条直播：“BINANCELIVE：采访币安首席执行官，免费赠送BTC”。视频的制作者承诺向用户空投5000枚比特币，诱导用户向一个地址发送加密货币，并承诺会返还更多回报。除此之外，还有数个YouTube博主的频道被黑，被黑客打着Ripple首席执行官Brad Garlinghouse的名义进行。（Decrypt）[2020/1/5]

事实上，即便是用户采用了IPFS进行维护，还有不少因素同样会导致URL被破坏，以至于类似Checkmynft.com（用户可以插入合同地址和令牌ID检查URL状态检验）等平台应运而生。

而就在今年3月，Checkmynft发现，已经使用过IPFS存储的Grimes、DeadMau5和Steve Aoki等用户的NFT出现无法加载的情况，最终文件外流。虽然文件外流没有对市场造成太大影响，却也加重了人们对NFT的储存方式的担忧。

2018共识大会-黑客马拉松获奖揭晓 PayPal首席工程师赢得星云挑战:由Coindesk举办的，区块链领域最高级别会议-共识大会的黑客马拉松活动于纽约当地时间5月12日至5月13日进行，197名来自世界各地的顶尖开发者参与了此次活动。

星云联合创始人兼CTO钟馥百担任本次大赛评委，他给出的挑战题目是：用星云主网实现预测市场。经过30多个小时的紧张开发后，PayPal的首席数据工程师Amir Youssefi的Predict Mart and Social Network（预测市场）项目，通过搭建预言机将结果上链的方式，赢得了星云的挑战，获得了等值5120美元的NAS奖励。星云链（NAS）是致力于构建可持续升级的良性生态3.0公链。（已于3月29号主网上线)[2018/5/15]

既然如此，为什么不直接选择，简单直接的数字艺术品直接上链呢？

艾贝链动 CEO 叶新告诉《链新》记者：“NFT选择基于智能合约URL指向的形式存在，还是作为独立的作品直接上链，本质上是成本问题。”

艾贝链动是一家区块链领域安全产品与技术服务公司，业务集中在数字身份、数字资产凭证、资产追踪服务等方面。

简单计算两种储存方式的成本，目前来说，以太坊的存储成本是256bit=32字节=20 K gas，假设当前gasPrice是100 gwei，ETH价格为3000美元，那20K gas成本就为6美元。

普遍URL都在64字节以内，所以一个URL在以太坊网络正常情况下的存储成本大约是12美元左右，通常NFT合约只存了一份URL前缀并使用不同的id拼接出完整的URL。

但如果是独立上链的话，以Cryptopunk为例，一张图大概需要3000字节，也就是2000 K gas，约600美元，其成本将会是普通URL上链成本的50倍，1万张图就是600万美元。

倘若再遇到以太坊网络拥堵，独立上链的gasPrice成本将超出想象。

所以说，从成本上考虑，URL是目前虽然有漏洞却是最具性价比的选择。

那么，黑客们究竟是如何一步步从潜在的技术漏洞，到真正窃取他人的NFT资产的呢？

据链圈专业人士介绍，尽管区块链账户号称是不可变的，但智能合约比许多人想象的更容易被窃取和伪造。而且，由于NFT交易可能会带来丰厚的利润，黑客就有了进一步攻击的动机。

叶新告诉《链新》，近年来NFT 市场频发资产被盗事件主要原因是NFT资产的价值及流通性大幅提升。事实上，个人钱包被盗事件一直很多，只是过去谈的是加密货币，现在谈的是NFT，黑客们自然会在掌握受害者私钥后将 NFT 转走套现。

这却是一件吊诡的事：NFT是一种防篡改的电子账本，对原始数字艺术进行认证和定义，还可以向艺术家提供永久的交易分成；人们基于相信制作NFT的区块链技术会带来切实好处而引发2021年上半年的“NFT抢购潮”和逐渐走高的价格；而这个价值24亿美元的新兴行业所使用的技术基础却很差，无法实现它所给出的承诺，短时间内还无法找到根治之策。

既然如此，或许尝试了解黑客们盗走NFT的方式，能在某种程度上减少一些受害者。

据《链新》了解，用户NFT数字资产被盗就是因为所属钱包私钥遭到了泄露或用户在不知情的情况下授权了非法转账交易行为。而要做到这一点，离不开用户的“配合”，简单来说，即用户在不知情的情况下进行了授权，可能有以下三种情况：?

1.用户没能保管好私钥，比如将私钥信息储存在邮箱等云存储上，或是误发到通信软件或是误贴到钓鱼网站等，也就是所谓的“私钥触网”。例如在缺乏 2FA （双因素验证）的情况下，黑客可以暴破邮箱弱口令将私钥截获；

2、用户错误授权，黑客可利用搭建虚假网站、虚假钱包或者构建虚假项目取用户授权，进而利用智能合约中 approve/transferFrom 的特性在用户没有感知的情况下盗取资产。在 NFT 的场景，由于资产可能带有图片或视频，还存在一个有别于币的攻击面，黑客可能通过交易网站的漏洞由恶意图片触发看似合法的授权弹窗，诱用户点击；

3、私钥存储设备被入侵，这是更进阶的一种盗取私钥的方式。任何联网的设备都可能通过钓鱼邮件，word 文件等方式被黑客安装木马，假设用户以明文方式存储私钥或者加密口令过于简单，黑客都可能远程盗取私钥，因此储存私钥的设备需要即时更新安全补丁及安装防软件定期扫描，用冷钱包操作私钥是更安全的做法。

要杜绝此类事件发生，除了要知道黑客们惯用手段、提高日常警惕之外，不同平台之间权责明晰也非常必要，可NFT正处于萌发阶段，现有制度和人们的共识还未完善，需要时间搭建完整体系。

不过在叶新看来，对于个别用户因私钥被盗或被钓鱼造成的 NFT 盗窃事件，目前来看责任主要在于用户自己。这是加密市场去中心化市场的主要特性。

而钱包方、交易平台、拍卖平台有义务在产品使用过程中层层设防，在自身安全保障过硬的基础上，还应做好用户安全意识教育，钓鱼陷阱普及等认知教育工作。

体系不够健全，行业自当努力，NFT的存储方式有问题需要解决，不少区块链创业公司都希望能在这里裨补阙漏、贡献力量。

比如，区块链服务和安全公司RubiX的CEO和创始人尼廷·帕拉瓦利(Nithin Palavalli)，它们认为目前的存储选择还不够，于是发明了一种新的机制——通过该模型在区块链上验证交易，允许用户在链上存储大量数据，帮助资产防护黑客攻击。

而对于那些看重NFT中文件的用户来说，文件的丢失可能会令人崩溃。

对此，RubiX与艺术家合作，使用生物识别技术访问创建了一种安全性更高的文件，还与微软智能安全协会(Microsoft Intelligent security Association)合作，开发了几个分散的安全协议，作为区块链安全产品的一部分，这些解决方案或许会令NFT市场更好地运转。

另外，知识产权律师杰夫·格鲁克(Jeff Gluck)一直关心着与艺术家们权利息息相关的智能合约。他表示，由于没有铸造的集中标准，艺术家最终会被去转售分成，于是他创立了提供智能合约的CXIP实验室，可以对任何平台协议进行转译。

储存选择、文件流失、智能合约，似乎一切正如叶新所言，漏洞是暂时的，需要在行业进步过程中一点点规避的。就像早期的 DeFi 协议也存在大量攻击事件，但随着项目开发者普遍安全意识提升，攻击事件就逐步降低，NFT市场也会经历这么一个过程。

标签：NFT区块链GATNifty GatewayNFTI什么是区块链技术GATENe

瑞波币热门资讯