變著法子考驗安全性。
最近,NFT相關新聞出現的次數似乎有點多:先是交易平台OpenSea用戶錢包被盜,千萬資產一夜消失;隨後知名NFT遊戲Axie Infinity被黑客攻陷,用戶統共6億財產不翼而飛……而幾乎每一件事都在拷問著NFT的宣傳語——安全性。
而前段時間從NBA球星到演藝圈人士都參與哄搶的知名NFT「無聊猿」,自從周杰倫在Instagram上公開自己的「BAYC #3738 」被盜的消息後,也正在無數人的矚目下中落下神壇。
價值300萬的NFT就這樣不明不白的從周董的以太坊錢包里消失,一度引發了國內網友的討論
在周董NFT被盜前後,媒體接連爆料有數名「無聊猿」持有者的NFT也無故消失了。這些當然同樣都出自黑客之手,但BAYC官方和NFT持有者們沒有想到的是,黑客們還敢做得更加猖狂。
昨天,「無聊猿」BAYC官方在官推上發布了一則信息,稱官方沒有推出新NFT,且BAYC的Ins帳號已經被黑,叮囑用戶們不要去mint新NFT(指通過一手方式獲取NFT)且連接到自己的錢包。
在BAYC的官方Discord上,版主也出來警告所有人BAYC的Ins共享了一個假的mint網站,所有人不要mint上面的任何東西。
BAYC官方隨後在INS上發布了同樣的緊急聲明
但官方的警告為時已晚,此時已經有受騙者出現了——根據著名加密偵探Zachxbt分享的黑客以太坊地址顯示,該地址在週一早上數個小時里已經收獲了一百多條NFT。創造了這個知名NFT的公司Yuga Labs聲稱,本次騙局的造成的損失多達300萬美元。
以上情況不難理解,這場瞄準了BAYC關注者錢包的釣魚騙局,實際上原理很簡單——只要黑了官方社交帳號,再在帳號中以BAYC的名義聲稱空投新NFT,用事先准備好的和BAYC官網
一模一樣的釣魚網站以欺騙那些關注者免費獲得NFT,讓他們在不明所以的情況下簽署共享資產轉讓協議,以此拿走受騙者MetaMask錢包的控制權。簡單來講,和一般的電信詐騙也差不多。
實際上,單說NFT本身的安全底層邏輯,的確是足夠安全的——想要直接獲取這些用戶的NFT,必須破解私鑰,但這工程量極其浩大,幾乎無法完成,因此從技術上講一個人購買進自己錢包的NFT是無法被別人拿走的。但這一切的前提是NFT用戶沒有自願簽協議將自己的錢包使用權交給別人。
盡管這次風波中黑客所用的手段和前段時間同樣遭遇打擊的OpenSea相比要簡陋許多,且用戶損失總和也完全不可同日而語,但BAYC是頗有名氣的NFT創造者,而非NFT交易平台或NFT遊戲,黑客只要運用BAYC的影響力就可以輕易讓用戶上鉤,因此採用這種猖狂的形式無疑是非常有效率的、堪稱量身定製的方法——簡單來說,誰也不能保證NFT的絕對安全性,當NFT成為一種財富形式,就很難避免有人挖空心思用不擇手段去獲取,而獲取它們的方式,有時候完全可以繞過技術本身,從而變得非常簡單。
現在,安全問題的壓力來到了用戶這邊,很多跟風進入NFT圈的人此時可能會有些迷惑,自己到底該相信誰。
來源:遊研社
