近日,“无聊猿BAYC”证实BAYC官方账号被黑,导致《无聊猿》等部分NFT作品被盗,损失超过1000万美元。
4月25日,BAYC的官方Instagram账号被黑。根据BAYC的说法,黑客通过虚假空投发布了一个假冒BAYC网站的欺诈链接,并提示用户签署“safeTransferFrom”交易。这就把他们的资产转移到了诈骗者的钱包里。据了解,safeTransferFrom transaction是以太坊中的一个功能,旨在检查NFT(非趣味令牌)从所有者到接收者是否符合ERC-721令牌传输标准。
“发现黑客攻击后,我们立即通知了我们的社区,从我们的平台上删除了受损IG账户的链接,并试图恢复账户。”它在一条推文中表示,尽管BAYC采用了双因素认证,并遵循了安全最佳实践,但该账户仍被黑客攻击。BAYC发起了一项调查,试图找出黑客是如何获得访问权限的。
BAYC的联合创始人Garga.eth表示,4只无聊猿、6只变异猿、3个狗舍和其他“各种有价值的NFT”都被转移给了黑客。根据市场的保留价格,估计转让的NFT价值超过1000万美元。区块链安全公司派顿表示,黑客已经窃取了包括BAYC、MAYC、BAKC、CloneX在内的765.3个ETH和91个NFT,并已出售约23个NFT,获得约240万美元。他们捐赠了大约1.6 ETH给乌克兰的Cryptodation,并开始将偷来的ETH转移到CEX(集中交易中心)。
这次Instagram账号被黑事件已经不是BAYC的NFT第一次被盗了。4月1日,周杰伦在社交媒体上证实,他的无聊猿贝可NFT是被人钓鱼偷走的。区块链黑客的活动范围并不止于BAYC这样的“知名品牌”,而是活跃在整个区块链生态系统中。根据Atlas VPN团队的一项新研究,2022年第一季度,区块链黑客在78起黑客攻击事件中窃取了约13亿美元。
NFT用户应如何防盗?“区块链系统的安全特性并不意味着每个人的数字资产如NFT不会被窃取。”中国移动通信协会元宇宙行业委员会常务理事、中国通信行业协会区块链专委会联席主席于佳宁告诉南都湾财经社记者,NFT领域存在三种风险:运营风险、技术风险和道德风险。
于佳宁表示,所谓“操作风险”,主要是用户操作不当导致私钥或助记符泄露的风险,“包括转移资产时地址错误导致资产损失的风险”。与此同时,NFT背后是一个智能合约,其中所有的操作都是通过代码行来执行的。“如果这些代码不完善,很容易被黑客利用漏洞攻击项目,这是技术风险。”此外,一些钓鱼项目会利用欺诈活动诱导用户授权一个智能合约,黑客会通过智能合约窃取用户钱包中的所有授权资产。另外,道德风险主要是指一些项目方作恶,以NFT为噱头非法集资,欺诈用户,骗取用户数字资产。
于佳宁向用户提出了四点注意事项:“第一,私钥或助记符要物理备份,千万不要触网。第二,仔细筛选邮件和网站的地址,尽量从官网或官方Twitter或Discord等社区进入项目官网,谨慎授权。不要在一些免费接收NFT的小项目或网站上授权你的钱包。第三,仔细检查项目是否经过代码安全审计机构的审计。有效、专业的代码安全审计可以有效识别已知的智能合约漏洞。第四:定期清理授权项目。在对存储NFT的数字钱包进行授权时,我们必须确定授权的类型和限制,以避免资产被无良项目卷走。同时,要定期清理授权项目,授权前反复核对合同地址,绝不授权来源可疑的智能合同。”
采写:南都记者卢野实习生段新宇
