“警报!警报!警报!”,一只手机躺在床头柜上,吱哇乱叫。
Michael J(以下简称MJ)熟睡中被惊醒,拿起手机一看,来自加密艺术平台Nifty Gateway出售商品警报、各个信用卡商的欺诈警报,充斥着他的手机界面。
“坏了!”MJ瞬间清醒,一下子坐起身来,火速打开Nifty Gateway准备转移资产,可惜为时已晚,他所有的NFT收藏品全被清空,黑客甚至还用MJ的数字钱包购买了价值1万美元的新NFT,一并转走了。
几分钟时间,MJ价值数十万美元的NFT藏品化为乌有,再也找不回来了。
Nifty Gateway是一家注册在美国的加密艺术品交易平台。
有人说,这种情况不能找Nifty Gateway维权吗?NFT数字作品不是锚定产权人,不可更改吗?难道没有办法吗?MJ也这么想,找到Nifty Gateway。
“由于记录了包括转账在内的所有交易,因此我知道我被盗的NFT发送到的2个具体帐户以及购买人信息。”MJ将此提供给Nifty Gateway,此时黑客在Discord频道上寻找买家。
对此,Nifty Gateway发表声明说,正在对MJ事件进行分析。“初步评估表明此事件影响有限,未受影响的帐户都启用了2FA(Two-factor-authentication双元验证法),并且可以通过有效的帐户凭据获得访问权限。”
Gitcoin将于10月3日至31日举办首个开放数据科学黑客松活动:10月3日消息,Gitcoin宣布10月3日至31日举办首个开放数据科学黑客松活动,奖金总额为18250美元,将分配在三个类别:Sybil Slayers、Human Hackers和Dune Detectives。
其中,Sybil Slayers是查询大型数据集以找到识别Sybil攻击者的新方法,奖金为10000美元;Human Hacker以保持质量和可靠性的方式创建分布式拨款审查的新方法,奖金为7500美元;Dune Detective设计新颖、对资助回合的贡献者和管理者有用的仪表板,奖金为1750美元。[2022/10/3 18:38:36]
在境外NFT炒作浪潮里,除了价格泡沫外,参与者还会面临资产安全风险。
事实证明,随着NFT大热,资本快速涌入,网络罪犯也在将他们的注意力转向NFT领域。近几个月来,NFT市场蓬勃发展,数字艺术品资产被盗事件也发生的越来越频繁。
强大的元宇宙难道无法保护一张数字图片吗?为此,《链新》采访了多位一线技术人员,试图分析出NFT数字资产被盗一事背后的底层技术逻辑、隐藏问题、行业看法以及可防范措施。
Crema Finance:黑客将部分被盗资金转移至一以太坊地址,Etherscan等已标记黑客地址:7月3日消息,Solana生态流动性协议Crema Finance针对攻击事件更新称,目前在Etherscan、Solscan和SolanaFM的帮助下已将黑客地址列入黑名单(被标记),黑客已将部分被盗资金转移到以太坊地址0x8021b2962dB803b73Aa874030B0B42c202E8458F。该地址当前持有6064枚ETH,价值约640万美元。[2022/7/3 1:47:49]
2021年4月,黑客珀森从佳士得的网站上下载并伪造了Beeple的《每一天:第一个5000天》文件,然后通过Beeple钱包铸造了另一个铸币,在一个NFT平台上挂牌出售。
做完这一切,珀森在自己的网站NFTheft上,发表了一篇题为《我为什么这么做》的文章,直言:“才华横溢、经验丰富的创作者无法为他们的作品提供任何必要的保障。”,“没有任何权利或保护措施来防止他们的艺术品被盗或被误用。”
这是黑客珀森的一场行为艺术,但他说的话却比他的行为更吸引人。
业内人士告诉《链新》,一个典型的NFT常分成两个独立的部分,存储在链上的智能合约或ERC-721标准规范,以及数字艺术品本身。目前,访问艺术品的主要模式是使用URL(网络地址),而非数字作品直接上链。
黑客组织Maze声称使用勒索软件攻击保险业巨头Chubb:黑帽黑客组织Maze声称使用勒索软件破坏保险业巨头Chubb的系统。他们还声称窃取了公司的数据。3月27日,网络安全公司Emsisoft威胁分析师Brett Callow表示,Maze在其网站发布了这一声明。虽然该网站迄今没有提供任何直接证据证明黑客攻击,但Callow指出一些事实,使这一说法具有可信度:“Maze过去的攻击者包括政府、律师事务所、医疗保健提供商、制造商、医疗研究公司、医疗保健提供商等等。”Callow解释,该组织通常先在成功的攻击后声明其黑客攻击,然后如果受害者不付钱,他们会公布少量被盗数据作为黑客攻击的证据。如果被攻击的实体仍然不付款,Maze将开始发布越来越多的敏感数据。今年2月,Maze向5家美国律师事务所提出,要求支付2笔100枚比特币的赎金,以换取恢复数据和删除其文件的额外副本。目前尚不清楚Chubb被索要的赎金数额。根据公司数据网站Owler,Chubb是一家保险提供商,总部位于苏黎世,拥有32700名员工,年收入342亿美元。截至发稿时,该公司没有回复Cointelegraph的询问。(Cointelegraph)[2020/3/30]
从事数字艺术品的经营的凯拉尼·尼科尔(Kelani Nichole)曾公开表示对ERC-721的质疑,称这种模式是危险的,其直言 “如果哪天NFT平台的服务器宕机了,或者他们的IPFS(分布式文件存储系统,一种常见的防护措施)节点宕机了,你花很多钱买的内容将无法访问”。?
动态 | 特拉华州查获黑客价值约21.7万美元的比特币:据bitcoinist消息,美国特拉华州联邦检察官办公室周三公布的一份文件显示,在黑客Grant West被捕后,特拉华州的联邦当局查获了其价值约21.7万美元的比特币。据悉,Grant West曾利用位于特拉华州威尔明顿的加密货币交易所Poloneix来储存比特币。此前消息,Grant West曾在全球范围内进行网络攻击,利用钓鱼邮件多家公司财务数据,将数据出售后的利润换为BTC。5月25日该黑客因网络攻击被判处10年零8个月监禁,从其手中获得价值66.7万美元的BTC。[2018/10/25]
事实上,即便是用户采用了IPFS进行维护,还有不少因素同样会导致URL被破坏,以至于类似Checkmynft.com(用户可以插入合同地址和令牌ID检查URL状态检验)等平台应运而生。
而就在今年3月,Checkmynft发现,已经使用过IPFS存储的Grimes、DeadMau5和Steve Aoki等用户的NFT出现无法加载的情况,最终文件外流。虽然文件外流没有对市场造成太大影响,却也加重了人们对NFT的储存方式的担忧。
既然如此,为什么不直接选择,简单直接的数字艺术品直接上链呢?
Bithumb被盗过程还原:黑客利用百倍交易费不计成本加速转账,疑似已累计转移1900BTC:Chaindigg通过对Bithumb比特币流向分析发现,从19日23点07分,黑客利用其已经掌握的Bithumb热钱包地址私钥,将Bithumb热钱包中的比特币不断转移至自己不同的钱包地址。为了加快交易速度,使交易尽快得到确认,黑客将每一笔转账交易的交易Fee都设置为0.1BTC,较正常交易Fee高出百倍。半小时后,Bithumb察觉了其热钱包动向的异常行为。自此,Bithumb与黑客的数字资产转移竞赛拉开序幕。但由于黑客不计成本,矿工在对同一个地址中的比特币进行交易时,会优先确认交易Fee高的交易,因此,黑客占得绝对先机。截止20日15点45分,疑似黑客已经累计从Bithumb转移1900BTC。[2018/6/20]
艾贝链动 CEO 叶新告诉《链新》记者:“NFT选择基于智能合约URL指向的形式存在,还是作为独立的作品直接上链,本质上是成本问题。”
艾贝链动是一家区块链领域安全产品与技术服务公司,业务集中在数字身份、数字资产凭证、资产追踪服务等方面。
简单计算两种储存方式的成本,目前来说,以太坊的存储成本是256bit=32字节=20 K gas,假设当前gasPrice是100 gwei,ETH价格为3000美元,那20K gas成本就为6美元。
普遍URL都在64字节以内,所以一个URL在以太坊网络正常情况下的存储成本大约是12美元左右,通常NFT合约只存了一份URL前缀并使用不同的id拼接出完整的URL。
但如果是独立上链的话,以Cryptopunk为例,一张图大概需要3000字节,也就是2000 K gas,约600美元,其成本将会是普通URL上链成本的50倍,1万张图就是600万美元。
倘若再遇到以太坊网络拥堵,独立上链的gasPrice成本将超出想象。
所以说,从成本上考虑,URL是目前虽然有漏洞却是最具性价比的选择。
那么,黑客们究竟是如何一步步从潜在的技术漏洞,到真正窃取他人的NFT资产的呢?
据链圈专业人士介绍,尽管区块链账户号称是不可变的,但智能合约比许多人想象的更容易被窃取和伪造。而且,由于NFT交易可能会带来丰厚的利润,黑客就有了进一步攻击的动机。
叶新告诉《链新》,近年来NFT 市场频发资产被盗事件主要原因是NFT资产的价值及流通性大幅提升。事实上,个人钱包被盗事件一直很多,只是过去谈的是加密货币,现在谈的是NFT,黑客们自然会在掌握受害者私钥后将 NFT 转走套现。
这却是一件吊诡的事:NFT是一种防篡改的电子账本,对原始数字艺术进行认证和定义,还可以向艺术家提供永久的交易分成;人们基于相信制作NFT的区块链技术会带来切实好处而引发2021年上半年的“NFT抢购潮”和逐渐走高的价格;而这个价值24亿美元的新兴行业所使用的技术基础却很差,无法实现它所给出的承诺,短时间内还无法找到根治之策。
既然如此,或许尝试了解黑客们盗走NFT的方式,能在某种程度上减少一些受害者。
据《链新》了解,用户NFT数字资产被盗就是因为所属钱包私钥遭到了泄露或用户在不知情的情况下授权了非法转账交易行为。而要做到这一点,离不开用户的“配合”,简单来说,即用户在不知情的情况下进行了授权,可能有以下三种情况:?
1.用户没能保管好私钥,比如将私钥信息储存在邮箱等云存储上,或是误发到通信软件或是误贴到钓鱼网站等,也就是所谓的“私钥触网”。例如在缺乏 2FA (双因素验证)的情况下,黑客可以暴破邮箱弱口令将私钥截获;
2、用户错误授权,黑客可利用搭建虚假网站、虚假钱包或者构建虚假项目取用户授权,进而利用智能合约中 approve/transferFrom 的特性在用户没有感知的情况下盗取资产。在 NFT 的场景,由于资产可能带有图片或视频,还存在一个有别于币的攻击面,黑客可能通过交易网站的漏洞由恶意图片触发看似合法的授权弹窗,诱用户点击;
3、私钥存储设备被入侵,这是更进阶的一种盗取私钥的方式。任何联网的设备都可能通过钓鱼邮件,word 文件等方式被黑客安装木马,假设用户以明文方式存储私钥或者加密口令过于简单,黑客都可能远程盗取私钥,因此储存私钥的设备需要即时更新安全补丁及安装防软件定期扫描,用冷钱包操作私钥是更安全的做法。
要杜绝此类事件发生,除了要知道黑客们惯用手段、提高日常警惕之外,不同平台之间权责明晰也非常必要,可NFT正处于萌发阶段,现有制度和人们的共识还未完善,需要时间搭建完整体系。
不过在叶新看来,对于个别用户因私钥被盗或被钓鱼造成的 NFT 盗窃事件,目前来看责任主要在于用户自己。这是加密市场去中心化市场的主要特性。
而钱包方、交易平台、拍卖平台有义务在产品使用过程中层层设防,在自身安全保障过硬的基础上,还应做好用户安全意识教育,钓鱼陷阱普及等认知教育工作。
体系不够健全,行业自当努力,NFT的存储方式有问题需要解决,不少区块链创业公司都希望能在这里裨补阙漏、贡献力量。
比如,区块链服务和安全公司RubiX的CEO和创始人尼廷·帕拉瓦利(Nithin Palavalli),它们认为目前的存储选择还不够,于是发明了一种新的机制——通过该模型在区块链上验证交易,允许用户在链上存储大量数据,帮助资产防护黑客攻击。
而对于那些看重NFT中文件的用户来说,文件的丢失可能会令人崩溃。
对此,RubiX与艺术家合作,使用生物识别技术访问创建了一种安全性更高的文件,还与微软智能安全协会(Microsoft Intelligent security Association)合作,开发了几个分散的安全协议,作为区块链安全产品的一部分,这些解决方案或许会令NFT市场更好地运转。
另外,知识产权律师杰夫·格鲁克(Jeff Gluck)一直关心着与艺术家们权利息息相关的智能合约。他表示,由于没有铸造的集中标准,艺术家最终会被去转售分成,于是他创立了提供智能合约的CXIP实验室,可以对任何平台协议进行转译。
储存选择、文件流失、智能合约,似乎一切正如叶新所言,漏洞是暂时的,需要在行业进步过程中一点点规避的。就像早期的 DeFi 协议也存在大量攻击事件,但随着项目开发者普遍安全意识提升,攻击事件就逐步降低,NFT市场也会经历这么一个过程。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。