继周杰伦NFT被盗之后,“无聊猿”又因官方账号被黑导致用户损失数百万美元
最近,NFT相关新闻出现的次数似乎有点多:先是交易平台OpenSea用户钱包被盗,千万资产一夜消失;随后知名NFT游戏Axie Infinity被黑客攻陷,用户统共6亿财产不翼而飞......而几乎每一件事都在拷问着NFT的宣传语——安全性。
而前段时间从NBA球星到演艺圈人士都参与哄抢的知名NFT“无聊猿”,自从周杰伦在Instagram上公开自己的“BAYC #3738 ”被盗的消息后,也正在无数人的瞩目下中落下神坛。
在周董NFT被盗前后,媒体接连爆料有数名“无聊猿”持有者的NFT也无故消失了。这些当然同样都出自黑客之手,但BAYC官方和NFT持有者们没有想到的是,黑客们还敢做得更加猖狂。
昨天,“无聊猿”BAYC官方在官推上发布了一则信息,称官方没有推出新NFT,且BAYC的Ins账号已经被黑,叮嘱用户们不要去mint新NFT(指通过一手方式获取NFT)且连接到自己的钱包。
在BAYC的官方Discord上,版主也出来警告所有人BAYC的Ins共享了一个假的mint网站,所有人不要mint上面的任何东西。
但官方的警告为时已晚,此时已经有受骗者出现了——根据著名加密侦探Zachxbt分享的黑客以太坊地址显示,该地址在周一早上数个小时里已经收获了一百多条NFT。创造了这个知名NFT的公司Yuga Labs声称,本次骗局的造成的损失多达300万美元。
以上情况不难理解,这场瞄准了BAYC关注者钱包的钓鱼骗局,实际上原理很简单——只要黑了官方社交账号,再在账号中以BAYC的名义声称空投新NFT,用事先准备好的和BAYC官网 一模一样的钓鱼网站以欺骗那些关注者免费获得NFT,让他们在不明所以的情况下签署共享资产转让协议,以此拿走受骗者MetaMask钱包的控制权。简单来讲,和一般的电信诈骗也差不多。
实际上,单说NFT本身的安全底层逻辑,的确是足够安全的——想要直接获取这些用户的NFT,必须破解私钥,但这工程量极其浩大,几乎无法完成,因此从技术上讲一个人购买进自己钱包的NFT是无法被别人拿走的。但这一切的前提是NFT用户没有自愿签协议将自己的钱包使用权交给别人。
尽管这次风波中黑客所用的手段和前段时间同样遭遇打击的OpenSea相比要简陋许多,且用户损失总和也完全不可同日而语,但BAYC是颇有名气的NFT创造者,而非NFT交易平台或NFT游戏,黑客只要运用BAYC的影响力就可以轻易让用户上钩,因此采用这种猖狂的形式无疑是非常有效率的、堪称量身定制的方法——简单来说,谁也不能保证NFT的绝对安全性,当NFT成为一种财富形式,就很难避免有人挖空心思用不择手段去获取,而获取它们的方式,有时候完全可以绕过技术本身,从而变得非常简单。
现在,安全问题的压力来到了用户这边,很多跟风进入NFT圈的人此时可能会有些迷惑,自己到底该相信谁。