NFT:黑客虎视眈眈 资产频繁被盗 警惕NFT安全风险_Gatechain Token

“警报！警报！警报！”，一只手机躺在床头柜上，吱哇乱叫。

Michael J（以下简称MJ）熟睡中被惊醒，拿起手机一看，来自加密艺术平台Nifty Gateway出售商品警报、各个信用卡商的欺诈警报，充斥着他的手机界面。

“坏了！”MJ瞬间清醒，一下子坐起身来，火速打开Nifty Gateway准备转移资产，可惜为时已晚，他所有的NFT收藏品全被清空，黑客甚至还用MJ的数字钱包购买了价值1万美元的新NFT，一并转走了。

几分钟时间，MJ价值数十万美元的NFT藏品化为乌有，再也找不回来了。

Nifty Gateway是一家注册在美国的加密艺术品交易平台。

有人说，这种情况不能找Nifty Gateway维权吗？NFT数字作品不是锚定产权人，不可更改吗？难道没有办法吗？MJ也这么想，找到Nifty Gateway。

“由于记录了包括转账在内的所有交易，因此我知道我被盗的NFT发送到的2个具体帐户以及购买人信息。”MJ将此提供给Nifty Gateway，此时黑客在Discord频道上寻找买家。

对此，Nifty Gateway发表声明说，正在对MJ事件进行分析。“初步评估表明此事件影响有限，未受影响的帐户都启用了2FA(Two-factor-authentication双元验证法)，并且可以通过有效的帐户凭据获得访问权限。”

推特用户：黑客被确认为前FTX开发人员Samuel Hyde，动机尚不清楚:11月12日消息，据推特用户@tittyrespecter发推称，黑客被确认为前FTX开发人员SamuelHyde，动机尚不清楚，但行动可能是由于今年早些时候与最高领导层的冲突。

金色财经此前报道，FTX在其Telegram社群中发公告称，FTX遭黑客攻击，疑似所有资金遭窃取。[2022/11/12 12:55:01]

在境外NFT炒作浪潮里，除了价格泡沫外，参与者还会面临资产安全风险。

事实证明，随着NFT大热，资本快速涌入，网络罪犯也在将他们的注意力转向NFT领域。近几个月来，NFT市场蓬勃发展，数字艺术品资产被盗事件也发生的越来越频繁。

强大的元宇宙难道无法保护一张数字图片吗？为此，《链新》采访了多位一线技术人员，试图分析出NFT数字资产被盗一事背后的底层技术逻辑、隐藏问题、行业看法以及可防范措施。

2021年4月，黑客珀森从佳士得的网站上下载并伪造了Beeple的《每一天：第一个5000天》文件，然后通过Beeple钱包铸造了另一个铸币，在一个NFT平台上挂牌出售。

Earning.Farm遭受闪电贷攻击，黑客获利268 ETH:10月15日消息，据Supremacy安全团队监测，Earning.Farm的EFLeverVault合约遭到两次闪电贷攻击，第一笔攻击被MEV bot截获，造成合约损失480 ETH；第二笔黑客完成攻击，黑客获利268 ETH。

经过分析，漏洞是由合约的闪电贷回调函数未验证闪电贷发起者产生，攻击者可自行触发合约的闪电贷回调逻辑：偿还合约内的Aave stETH债务并提现，然后将stETH兑换为ETH。随后攻击者可调用withdraw函数提现所有合约内的ETH余额。[2022/10/15 14:28:46]

做完这一切，珀森在自己的网站NFTheft上，发表了一篇题为《我为什么这么做》的文章，直言:“才华横溢、经验丰富的创作者无法为他们的作品提供任何必要的保障。”，“没有任何权利或保护措施来防止他们的艺术品被盗或被误用。”

这是黑客珀森的一场行为艺术，但他说的话却比他的行为更吸引人。

业内人士告诉《链新》，一个典型的NFT常分成两个独立的部分，存储在链上的智能合约或ERC-721标准规范，以及数字艺术品本身。目前，访问艺术品的主要模式是使用URL（网络地址），而非数字作品直接上链。

Slope：无确凿证据将超400万美元的Solana黑客攻击与其自身的安全漏洞关联:金色财经报道，Slope钱包的团队表示，承认存在安全漏洞，目前没有确凿证据将超400万美元的Solana黑客攻击与其自身的安全漏洞联系起来。仍在调查这次攻击事件。

此外，Slope更新攻击调查进展，除此前Sentry服务器实施问题外未发现其他漏洞。[2022/8/11 12:19:05]

从事数字艺术品的经营的凯拉尼·尼科尔（Kelani Nichole）曾公开表示对ERC-721的质疑，称这种模式是危险的，其直言 “如果哪天NFT平台的服务器宕机了，或者他们的IPFS（分布式文件存储系统，一种常见的防护措施）节点宕机了，你花很多钱买的内容将无法访问”。?

事实上，即便是用户采用了IPFS进行维护，还有不少因素同样会导致URL被破坏，以至于类似Checkmynft.com（用户可以插入合同地址和令牌ID检查URL状态检验）等平台应运而生。

而就在今年3月，Checkmynft发现，已经使用过IPFS存储的Grimes、DeadMau5和Steve Aoki等用户的NFT出现无法加载的情况，最终文件外流。虽然文件外流没有对市场造成太大影响，却也加重了人们对NFT的储存方式的担忧。

黑客组织Maze声称使用勒索软件攻击保险业巨头Chubb:黑帽黑客组织Maze声称使用勒索软件破坏保险业巨头Chubb的系统。他们还声称窃取了公司的数据。3月27日，网络安全公司Emsisoft威胁分析师Brett Callow表示，Maze在其网站发布了这一声明。虽然该网站迄今没有提供任何直接证据证明黑客攻击，但Callow指出一些事实，使这一说法具有可信度：“Maze过去的攻击者包括政府、律师事务所、医疗保健提供商、制造商、医疗研究公司、医疗保健提供商等等。”Callow解释，该组织通常先在成功的攻击后声明其黑客攻击，然后如果受害者不付钱，他们会公布少量被盗数据作为黑客攻击的证据。如果被攻击的实体仍然不付款，Maze将开始发布越来越多的敏感数据。今年2月，Maze向5家美国律师事务所提出，要求支付2笔100枚比特币的赎金，以换取恢复数据和删除其文件的额外副本。目前尚不清楚Chubb被索要的赎金数额。根据公司数据网站Owler，Chubb是一家保险提供商，总部位于苏黎世，拥有32700名员工，年收入342亿美元。截至发稿时，该公司没有回复Cointelegraph的询问。（Cointelegraph）[2020/3/30]

既然如此，为什么不直接选择，简单直接的数字艺术品直接上链呢？

精选 | 谷歌计划制定更严格的开发者规则降低加密黑客攻击风险:据Coindesk消息，谷歌周一宣布，正在为Chrome扩展开发者制定更严格的规则，包括计划对Chrome处理请求广泛权限的扩展程序进行一系列更改，并且加强通过Chrome网上应用店分发扩展程序的开发人员的规则。此举应该可以降低加密黑客攻击和挖掘恶意软件的风险。[2018/10/2]

艾贝链动 CEO 叶新告诉《链新》记者：“NFT选择基于智能合约URL指向的形式存在，还是作为独立的作品直接上链，本质上是成本问题。”

艾贝链动是一家区块链领域安全产品与技术服务公司，业务集中在数字身份、数字资产凭证、资产追踪服务等方面。

简单计算两种储存方式的成本，目前来说，以太坊的存储成本是256bit=32字节=20 K gas，假设当前gasPrice是100 gwei，ETH价格为3000美元，那20K gas成本就为6美元。

普遍URL都在64字节以内，所以一个URL在以太坊网络正常情况下的存储成本大约是12美元左右，通常NFT合约只存了一份URL前缀并使用不同的id拼接出完整的URL。

但如果是独立上链的话，以Cryptopunk为例，一张图大概需要3000字节，也就是2000 K gas，约600美元，其成本将会是普通URL上链成本的50倍，1万张图就是600万美元。

倘若再遇到以太坊网络拥堵，独立上链的gasPrice成本将超出想象。

所以说，从成本上考虑，URL是目前虽然有漏洞却是最具性价比的选择。

那么，黑客们究竟是如何一步步从潜在的技术漏洞，到真正窃取他人的NFT资产的呢？

据链圈专业人士介绍，尽管区块链账户号称是不可变的，但智能合约比许多人想象的更容易被窃取和伪造。而且，由于NFT交易可能会带来丰厚的利润，黑客就有了进一步攻击的动机。

叶新告诉《链新》，近年来NFT 市场频发资产被盗事件主要原因是NFT资产的价值及流通性大幅提升。事实上，个人钱包被盗事件一直很多，只是过去谈的是加密货币，现在谈的是NFT，黑客们自然会在掌握受害者私钥后将 NFT 转走套现。

这却是一件吊诡的事：NFT是一种防篡改的电子账本，对原始数字艺术进行认证和定义，还可以向艺术家提供永久的交易分成；人们基于相信制作NFT的区块链技术会带来切实好处而引发2021年上半年的“NFT抢购潮”和逐渐走高的价格；而这个价值24亿美元的新兴行业所使用的技术基础却很差，无法实现它所给出的承诺，短时间内还无法找到根治之策。

既然如此，或许尝试了解黑客们盗走NFT的方式，能在某种程度上减少一些受害者。

据《链新》了解，用户NFT数字资产被盗就是因为所属钱包私钥遭到了泄露或用户在不知情的情况下授权了非法转账交易行为。而要做到这一点，离不开用户的“配合”，简单来说，即用户在不知情的情况下进行了授权，可能有以下三种情况：?

1.用户没能保管好私钥，比如将私钥信息储存在邮箱等云存储上，或是误发到通信软件或是误贴到钓鱼网站等，也就是所谓的“私钥触网”。例如在缺乏 2FA （双因素验证）的情况下，黑客可以暴破邮箱弱口令将私钥截获；

2、用户错误授权，黑客可利用搭建虚假网站、虚假钱包或者构建虚假项目取用户授权，进而利用智能合约中 approve/transferFrom 的特性在用户没有感知的情况下盗取资产。在 NFT 的场景，由于资产可能带有图片或视频，还存在一个有别于币的攻击面，黑客可能通过交易网站的漏洞由恶意图片触发看似合法的授权弹窗，诱用户点击；

3、私钥存储设备被入侵，这是更进阶的一种盗取私钥的方式。任何联网的设备都可能通过钓鱼邮件，word 文件等方式被黑客安装木马，假设用户以明文方式存储私钥或者加密口令过于简单，黑客都可能远程盗取私钥，因此储存私钥的设备需要即时更新安全补丁及安装防软件定期扫描，用冷钱包操作私钥是更安全的做法。

要杜绝此类事件发生，除了要知道黑客们惯用手段、提高日常警惕之外，不同平台之间权责明晰也非常必要，可NFT正处于萌发阶段，现有制度和人们的共识还未完善，需要时间搭建完整体系。

不过在叶新看来，对于个别用户因私钥被盗或被钓鱼造成的 NFT 盗窃事件，目前来看责任主要在于用户自己。这是加密市场去中心化市场的主要特性。

而钱包方、交易平台、拍卖平台有义务在产品使用过程中层层设防，在自身安全保障过硬的基础上，还应做好用户安全意识教育，钓鱼陷阱普及等认知教育工作。

体系不够健全，行业自当努力，NFT的存储方式有问题需要解决，不少区块链创业公司都希望能在这里裨补阙漏、贡献力量。

比如，区块链服务和安全公司RubiX的CEO和创始人尼廷·帕拉瓦利(Nithin Palavalli)，它们认为目前的存储选择还不够，于是发明了一种新的机制——通过该模型在区块链上验证交易，允许用户在链上存储大量数据，帮助资产防护黑客攻击。

而对于那些看重NFT中文件的用户来说，文件的丢失可能会令人崩溃。

对此，RubiX与艺术家合作，使用生物识别技术访问创建了一种安全性更高的文件，还与微软智能安全协会(Microsoft Intelligent security Association)合作，开发了几个分散的安全协议，作为区块链安全产品的一部分，这些解决方案或许会令NFT市场更好地运转。

另外，知识产权律师杰夫·格鲁克(Jeff Gluck)一直关心着与艺术家们权利息息相关的智能合约。他表示，由于没有铸造的集中标准，艺术家最终会被去转售分成，于是他创立了提供智能合约的CXIP实验室，可以对任何平台协议进行转译。

储存选择、文件流失、智能合约，似乎一切正如叶新所言，漏洞是暂时的，需要在行业进步过程中一点点规避的。就像早期的 DeFi 协议也存在大量攻击事件，但随着项目开发者普遍安全意识提升，攻击事件就逐步降低，NFT市场也会经历这么一个过程。

标签：NFTETHNifty GatewayGATEsnft币西班牙EtherBoneGatechain Token

FTX热门资讯