NFT:黑客虎視眈眈 資產頻繁被盜 警惕NFT安全風險

“警報！警報！警報！”，一只手機躺在床頭柜上，吱哇亂叫。

Michael J（以下簡稱MJ）熟睡中被驚醒，拿起手機一看，來自加密藝術平臺Nifty Gateway出售商品警報、各個信用卡商的欺詐警報，充斥著他的手機界面。

“壞了！”MJ瞬間清醒，一下子坐起身來，火速打開Nifty Gateway準備轉移資產，可惜為時已晚，他所有的NFT收藏品全被清空，黑客甚至還用MJ的數字錢包購買了價值1萬美元的新NFT，一并轉走了。

幾分鐘時間，MJ價值數十萬美元的NFT藏品化為烏有，再也找不回來了。

Nifty Gateway是一家注冊在美國的加密藝術品交易平臺。

有人說，這種情況不能找Nifty Gateway維權嗎？NFT數字作品不是錨定產權人，不可更改嗎？難道沒有辦法嗎？MJ也這么想，找到Nifty Gateway。

“由于記錄了包括轉賬在內的所有交易，因此我知道我被盜的NFT發送到的2個具體帳戶以及購買人信息。”MJ將此提供給Nifty Gateway，此時黑客在Discord頻道上尋找買家。

對此，Nifty Gateway發表聲明說，正在對MJ事件進行分析。“初步評估表明此事件影響有限，未受影響的帳戶都啟用了2FA(Two-factor-authentication雙元驗證法)，并且可以通過有效的帳戶憑據獲得訪問權限。”

預警：黑客利用遠程控制軟件向日葵漏洞盜取加密錢包資產，建議卸載:4月3日消息，據推特用戶@0xAA_Science披露，這兩天很多人因為領取空投使用向日葵（遠程桌面軟件），加密錢包被盜了。黑客可以利用這個漏洞，遠程控制用戶的錢包轉錢。該用戶表示，電腦用過遠程桌面軟件的，包括向日葵、todesk、TeamViewer等，建議卸載。

根據其分享的資料，向日葵遠程控制軟件是一款遠程控制軟件，2022年2月互聯網披露向日葵遠程控制軟件舊版本中存在遠程命令執行漏洞，向日葵遠程控制軟件會監聽高端口 (默認40000以上)，攻擊者可構造惡意請求獲取Session，從而通過身份認證后利用向日葵遠程控制軟件相關API接口執行任意命令。[2023/4/3 13:41:29]

在境外NFT炒作浪潮里，除了價格泡沫外，參與者還會面臨資產安全風險。

事實證明，隨著NFT大熱，資本快速涌入，網絡罪犯也在將他們的注意力轉向NFT領域。近幾個月來，NFT市場蓬勃發展，數字藝術品資產被盜事件也發生的越來越頻繁。

強大的元宇宙難道無法保護一張數字圖片嗎？為此，《鏈新》采訪了多位一線技術人員，試圖分析出NFT數字資產被盜一事背后的底層技術邏輯、隱藏問題、行業看法以及可防范措施。

Tender.fi黑客已返還資金，獲得62 ETH賞金:3月8日消息，鏈上數據顯示，攻擊Arbitrum生態借貸協議Tender.fi的黑客已返還了資金，Tender.fi團隊同意向黑客支付62 ETH(96,500美元)作為賞金。官方團隊表示，事后審查正在進行中。

據此前消息，Tender.fi疑似遭白帽黑客攻擊，損失159萬美元。官方表示，已暫停所有借貸。 安全公司PeckShield和BlockSec的調查顯示，黑客利用Tender.fi配置錯誤的預言機借入價值159萬美元的加密資產，而抵押品僅為一個價值70美元的GMX代幣。[2023/3/8 12:48:18]

2021年4月，黑客珀森從佳士得的網站上下載并偽造了Beeple的《每一天：第一個5000天》文件，然后通過Beeple錢包鑄造了另一個鑄幣，在一個NFT平臺上掛牌出售。

做完這一切，珀森在自己的網站NFTheft上，發表了一篇題為《我為什么這么做》的文章，直言:“才華橫溢、經驗豐富的創作者無法為他們的作品提供任何必要的保障。”，“沒有任何權利或保護措施來防止他們的藝術品被盜或被誤用。”

這是黑客珀森的一場行為藝術，但他說的話卻比他的行為更吸引人。

The Block分析師：Poly Network遭到攻擊或因黑客制造假的交易簽名來竊取資金:The Block分析師Igor Igamberdiev表示：“Poly Network遭到攻擊的根本原因是密碼學問題，通常情況不會發生。本次攻擊應該是攻擊者以某種方式制造了一個假的交易簽名來竊取資金。”今日晚間，Poly Network遭到攻擊，共計超6億美元資產被轉至三個地址。（The Block）[2021/8/10 1:46:51]

業內人士告訴《鏈新》，一個典型的NFT常分成兩個獨立的部分，存儲在鏈上的智能合約或ERC-721標準規范，以及數字藝術品本身。目前，訪問藝術品的主要模式是使用URL（網絡地址），而非數字作品直接上鏈。

從事數字藝術品的經營的凱拉尼·尼科爾（Kelani Nichole）曾公開表示對ERC-721的質疑，稱這種模式是危險的，其直言 “如果哪天NFT平臺的服務器宕機了，或者他們的IPFS（分布式文件存儲系統，一種常見的防護措施）節點宕機了，你花很多錢買的內容將無法訪問”。?

事實上，即便是用戶采用了IPFS進行維護，還有不少因素同樣會導致URL被破壞，以至于類似Checkmynft.com（用戶可以插入合同地址和令牌ID檢查URL狀態檢驗）等平臺應運而生。

聲音 | V神詳述DAO黑客攻擊事件細節：擔心負面事件損害以太坊形象:以太坊創始人V神近期談及Genesis DAO的黑客攻擊事件時表示，當DAO獲得的初始投資超過5000萬美元時，V神擔心負面事件會損害以太坊的形象，他并未第一時間意識到出現了黑客攻擊。2016年6月17日，V神偶然間在Skype上看到了一條消息，促使他看了DAO一眼，從而發現了不對勁的地方，“所以我詢問了核心開發者，‘嘿，這正常嗎？一開始我在想，另一種結果（指黑客攻擊）是不可想象的。對此一定有一個合理的解釋……開發人員查看了問題，在接下來的半個小時里，越來越多的人開始議論這件事，很明顯，不可想象的事情真的發生了。”作為一種補救策略，他開始向區塊鏈進行“垃圾交易（spamming）”來減緩攻擊者的活動。但在將近400萬ETH被提走后決定停止操作。被盜取的ETH沒有立即送達攻擊者的錢包，而是被困在一份為期35天的“子智能合同”中。經過數次討論后，團隊最終決定進行硬分叉來解決問題。V神總結道：“當生態系統中如此大的一部分處于危險之中時，這是值得重新思考的事情……所以社區中出現了分裂，一部分人沒有下載這些代碼補丁并實現硬分叉，并繼續運行舊鏈（即ETC）。”（AMBCrypto）[2019/11/24]

而就在今年3月，Checkmynft發現，已經使用過IPFS存儲的Grimes、DeadMau5和Steve Aoki等用戶的NFT出現無法加載的情況，最終文件外流。雖然文件外流沒有對市場造成太大影響，卻也加重了人們對NFT的儲存方式的擔憂。

Coinrail有關黑客攻擊后的系統檢查公告:據韓國交易所Coinrail官方公告，由于10日受到黑客攻擊Coinrail全面停止交易并進行系統檢查。Coinrail表示目前整體代幣持量的70%安全保存在冷錢包，丟失總量中的3分之2已回收，剩余3分之1將與調查機構、有關交易所、開發隊協作進行調查。目前被攻擊的代幣中NPXS、ATX、NPER已采取解決措施。[2018/6/11]

既然如此，為什么不直接選擇，簡單直接的數字藝術品直接上鏈呢？

艾貝鏈動 CEO 葉新告訴《鏈新》記者：“NFT選擇基于智能合約URL指向的形式存在，還是作為獨立的作品直接上鏈，本質上是成本問題。”

艾貝鏈動是一家區塊鏈領域安全產品與技術服務公司，業務集中在數字身份、數字資產憑證、資產追蹤服務等方面。

簡單計算兩種儲存方式的成本，目前來說，以太坊的存儲成本是256bit=32字節=20 K gas，假設當前gasPrice是100 gwei，ETH價格為3000美元，那20K gas成本就為6美元。

普遍URL都在64字節以內，所以一個URL在以太坊網絡正常情況下的存儲成本大約是12美元左右，通常NFT合約只存了一份URL前綴并使用不同的id拼接出完整的URL。

但如果是獨立上鏈的話，以Cryptopunk為例，一張圖大概需要3000字節，也就是2000 K gas，約600美元，其成本將會是普通URL上鏈成本的50倍，1萬張圖就是600萬美元。

倘若再遇到以太坊網絡擁堵，獨立上鏈的gasPrice成本將超出想象。

所以說，從成本上考慮，URL是目前雖然有漏洞卻是最具性價比的選擇。

那么，黑客們究竟是如何一步步從潛在的技術漏洞，到真正竊取他人的NFT資產的呢？

據鏈圈專業人士介紹，盡管區塊鏈賬戶號稱是不可變的，但智能合約比許多人想象的更容易被竊取和偽造。而且，由于NFT交易可能會帶來豐厚的利潤，黑客就有了進一步攻擊的動機。

葉新告訴《鏈新》，近年來NFT 市場頻發資產被盜事件主要原因是NFT資產的價值及流通性大幅提升。事實上，個人錢包被盜事件一直很多，只是過去談的是加密貨幣，現在談的是NFT，黑客們自然會在掌握受害者私鑰后將 NFT 轉走套現。

這卻是一件吊詭的事：NFT是一種防篡改的電子賬本，對原始數字藝術進行認證和定義，還可以向藝術家提供永久的交易分成；人們基于相信制作NFT的區塊鏈技術會帶來切實好處而引發2021年上半年的“NFT搶購潮”和逐漸走高的價格；而這個價值24億美元的新興行業所使用的技術基礎卻很差，無法實現它所給出的承諾，短時間內還無法找到根治之策。

既然如此，或許嘗試了解黑客們盜走NFT的方式，能在某種程度上減少一些受害者。

據《鏈新》了解，用戶NFT數字資產被盜就是因為所屬錢包私鑰遭到了泄露或用戶在不知情的情況下授權了非法轉賬交易行為。而要做到這一點，離不開用戶的“配合”，簡單來說，即用戶在不知情的情況下進行了授權，可能有以下三種情況：?

1.用戶沒能保管好私鑰，比如將私鑰信息儲存在郵箱等云存儲上，或是誤發到通信軟件或是誤貼到釣魚網站等，也就是所謂的“私鑰觸網”。例如在缺乏 2FA （雙因素驗證）的情況下，黑客可以暴破郵箱弱口令將私鑰截獲；

2、用戶錯誤授權，黑客可利用搭建虛假網站、虛假錢包或者構建虛假項目騙取用戶授權，進而利用智能合約中 approve/transferFrom 的特性在用戶沒有感知的情況下盜取資產。在 NFT 的場景，由于資產可能帶有圖片或視頻，還存在一個有別于幣的攻擊面，黑客可能通過交易網站的漏洞由惡意圖片觸發看似合法的授權彈窗，誘騙用戶點擊；

3、私鑰存儲設備被入侵，這是更進階的一種盜取私鑰的方式。任何聯網的設備都可能通過釣魚郵件，word 文件等方式被黑客安裝木馬，假設用戶以明文方式存儲私鑰或者加密口令過于簡單，黑客都可能遠程盜取私鑰，因此儲存私鑰的設備需要即時更新安全補丁及安裝防軟件定期掃描，用冷錢包操作私鑰是更安全的做法。

要杜絕此類事件發生，除了要知道黑客們慣用手段、提高日常警惕之外，不同平臺之間權責明晰也非常必要，可NFT正處于萌發階段，現有制度和人們的共識還未完善，需要時間搭建完整體系。

不過在葉新看來，對于個別用戶因私鑰被盜或被釣魚造成的 NFT 盜竊事件，目前來看責任主要在于用戶自己。這是加密市場去中心化市場的主要特性。

而錢包方、交易平臺、拍賣平臺有義務在產品使用過程中層層設防，在自身安全保障過硬的基礎上，還應做好用戶安全意識教育，釣魚詐騙陷阱普及等認知教育工作。

體系不夠健全，行業自當努力，NFT的存儲方式有問題需要解決，不少區塊鏈創業公司都希望能在這里裨補闕漏、貢獻力量。

比如，區塊鏈服務和安全公司RubiX的CEO和創始人尼廷·帕拉瓦利(Nithin Palavalli)，它們認為目前的存儲選擇還不夠，于是發明了一種新的機制——通過該模型在區塊鏈上驗證交易，允許用戶在鏈上存儲大量數據，幫助資產防護黑客攻擊。

而對于那些看重NFT中文件的用戶來說，文件的丟失可能會令人崩潰。

對此，RubiX與藝術家合作，使用生物識別技術訪問創建了一種安全性更高的文件，還與微軟智能安全協會(Microsoft Intelligent security Association)合作，開發了幾個分散的安全協議，作為區塊鏈安全產品的一部分，這些解決方案或許會令NFT市場更好地運轉。

另外，知識產權律師杰夫·格魯克(Jeff Gluck)一直關心著與藝術家們權利息息相關的智能合約。他表示，由于沒有鑄造的集中標準，藝術家最終會被騙去轉售分成，于是他創立了提供智能合約的CXIP實驗室，可以對任何平臺協議進行轉譯。

儲存選擇、文件流失、智能合約，似乎一切正如葉新所言，漏洞是暫時的，需要在行業進步過程中一點點規避的。就像早期的 DeFi 協議也存在大量攻擊事件，但隨著項目開發者普遍安全意識提升，攻擊事件就逐步降低，NFT市場也會經歷這么一個過程。

Tags：NFT區塊鏈Nifty GatewayNIFTGNFT幣區塊鏈卡鏈是什么意思Unifty

以太坊交易