買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > DOGE > Info

NFT:黑客虎視眈眈 資產頻繁被盜 警惕NFT安全風險_NIF

Author:

Time:1900/1/1 0:00:00

“警報!警報!警報!”,一只手機躺在床頭柜上,吱哇亂叫。

Michael J(以下簡稱MJ)熟睡中被驚醒,拿起手機一看,來自加密藝術平臺Nifty Gateway出售商品警報、各個信用卡商的欺詐警報,充斥著他的手機界面。

“壞了!”MJ瞬間清醒,一下子坐起身來,火速打開Nifty Gateway準備轉移資產,可惜為時已晚,他所有的NFT收藏品全被清空,黑客甚至還用MJ的數字錢包購買了價值1萬美元的新NFT,一并轉走了。

幾分鐘時間,MJ價值數十萬美元的NFT藏品化為烏有,再也找不回來了。

Nifty Gateway是一家注冊在美國的加密藝術品交易平臺。

有人說,這種情況不能找Nifty Gateway維權嗎?NFT數字作品不是錨定產權人,不可更改嗎?難道沒有辦法嗎?MJ也這么想,找到Nifty Gateway。

“由于記錄了包括轉賬在內的所有交易,因此我知道我被盜的NFT發送到的2個具體帳戶以及購買人信息。”MJ將此提供給Nifty Gateway,此時黑客在Discord頻道上尋找買家。

對此,Nifty Gateway發表聲明說,正在對MJ事件進行分析。“初步評估表明此事件影響有限,未受影響的帳戶都啟用了2FA(Two-factor-authentication雙元驗證法),并且可以通過有效的帳戶憑據獲得訪問權限。”

比特幣開發人員正在開發保險庫功能,可阻止惡意黑客:金色財經報道,比特幣開發人員James O'Beirne正在開發一項比特幣保險庫功能,當黑客試圖竊取他們的比特幣時提醒用戶,然后通過將資金轉移到更安全的錢包來阻止盜竊。該功能類似于一種比特幣智能合約或“契約”,對比特幣的使用方式施加限制,保險庫用戶必須在花費比特幣(BTC)之前在兩個不同的區塊中傳輸兩個單獨的交易,在第一次交易(有時間延遲)后發出警報,允許用戶批準交易或將代幣掃到另一個錢包。O'Beirne在他的提案草案中寫道:“托管比特幣的風險是眾所周知的,該提案引入了一種機制,可以顯著減輕密鑰泄露的最壞情況結果:代幣丟失。”[2023/3/1 12:35:24]

在境外NFT炒作浪潮里,除了價格泡沫外,參與者還會面臨資產安全風險。

事實證明,隨著NFT大熱,資本快速涌入,網絡罪犯也在將他們的注意力轉向NFT領域。近幾個月來,NFT市場蓬勃發展,數字藝術品資產被盜事件也發生的越來越頻繁。

強大的元宇宙難道無法保護一張數字圖片嗎?為此,《鏈新》采訪了多位一線技術人員,試圖分析出NFT數字資產被盜一事背后的底層技術邏輯、隱藏問題、行業看法以及可防范措施。

BitSG幣星服務器遭受黑客攻擊:據幣星官方最新消息:幣星服務器在本月27日遭受DDOS攻擊,黑客對此進行敲詐勒索。通過與安全合作廠商緊急溝通后,目前網站技術人員正在解決此問題,已抵抗住了黑客50G的流量攻擊,并已經向網警報警,由網警進行后續案件調查。

幣星團隊請廣大投資者放心,在此期間的所有個人信息和投資數據絕對安全,并為用戶帶來的不便深感抱歉。[2020/4/29]

2021年4月,黑客珀森從佳士得的網站上下載并偽造了Beeple的《每一天:第一個5000天》文件,然后通過Beeple錢包鑄造了另一個鑄幣,在一個NFT平臺上掛牌出售。

做完這一切,珀森在自己的網站NFTheft上,發表了一篇題為《我為什么這么做》的文章,直言:“才華橫溢、經驗豐富的創作者無法為他們的作品提供任何必要的保障。”,“沒有任何權利或保護措施來防止他們的藝術品被盜或被誤用。”

這是黑客珀森的一場行為藝術,但他說的話卻比他的行為更吸引人。

業內人士告訴《鏈新》,一個典型的NFT常分成兩個獨立的部分,存儲在鏈上的智能合約或ERC-721標準規范,以及數字藝術品本身。目前,訪問藝術品的主要模式是使用URL(網絡地址),而非數字作品直接上鏈。

媒體:愛沙尼亞加密貨幣交易所Crex24或被黑客攻擊:有媒體收到匿名信息舉報,愛沙尼亞加密貨幣交易所Crex24在2月初突然撤出13億個HTMLcoin之后或遭受黑客攻擊。?HTMLcoin最初于2020年1月在Crex24上上線,但是,用戶的HTMLcoin資金突然從交易所中消失了,導致許多人懷疑是黑客入侵造成的。?此后,Crex24確認HTMLcoin錢包已受到影響,并表示正在與山寨幣團隊合作以彌補損失。(CryptoGlobe)[2020/3/8]

從事數字藝術品的經營的凱拉尼·尼科爾(Kelani Nichole)曾公開表示對ERC-721的質疑,稱這種模式是危險的,其直言 “如果哪天NFT平臺的服務器宕機了,或者他們的IPFS(分布式文件存儲系統,一種常見的防護措施)節點宕機了,你花很多錢買的內容將無法訪問”。?

事實上,即便是用戶采用了IPFS進行維護,還有不少因素同樣會導致URL被破壞,以至于類似Checkmynft.com(用戶可以插入合同地址和令牌ID檢查URL狀態檢驗)等平臺應運而生。

而就在今年3月,Checkmynft發現,已經使用過IPFS存儲的Grimes、DeadMau5和Steve Aoki等用戶的NFT出現無法加載的情況,最終文件外流。雖然文件外流沒有對市場造成太大影響,卻也加重了人們對NFT的儲存方式的擔憂。

動態 | EOS競猜游戲SKR EOS凌晨遭黑客攻擊:今日凌晨00:01-01:31之間,PeckShield安全盾風控平臺DAppShield監測到黑客向EOS競猜類游戲SKR EOS發起連續攻擊,獲利近六千個EOS。PeckShield安全人員初步研究發現,黑客利用游戲服務器解析參數問題,使得投注未中獎的EOS可被退回,進而實現百分百投注中獎。PeckShield安全人員在此提醒,開發者應在合約上線前做好安全測試,特別是要排除已知攻擊手段的威脅,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/10/11]

既然如此,為什么不直接選擇,簡單直接的數字藝術品直接上鏈呢?

艾貝鏈動 CEO 葉新告訴《鏈新》記者:“NFT選擇基于智能合約URL指向的形式存在,還是作為獨立的作品直接上鏈,本質上是成本問題。”

艾貝鏈動是一家區塊鏈領域安全產品與技術服務公司,業務集中在數字身份、數字資產憑證、資產追蹤服務等方面。

簡單計算兩種儲存方式的成本,目前來說,以太坊的存儲成本是256bit=32字節=20 K gas,假設當前gasPrice是100 gwei,ETH價格為3000美元,那20K gas成本就為6美元。

聲音 | Coinbase首席執行官:加密貨幣中大多數錯誤都是個人失誤 而非黑客攻擊:據CCN報道,Coinbase首席執行官Brian Armstrong表示,加密貨幣中大多數最大的錯誤都是人為造成的,而非黑客攻擊,因為人們無法時刻確保任何細節都是正確的。在熱錢包中存儲大量比特幣更是危險的,因為人不僅自己會犯錯,還有遠遠超出自己控制范圍的系統部分也可能會出現錯誤。[2019/2/22]

普遍URL都在64字節以內,所以一個URL在以太坊網絡正常情況下的存儲成本大約是12美元左右,通常NFT合約只存了一份URL前綴并使用不同的id拼接出完整的URL。

但如果是獨立上鏈的話,以Cryptopunk為例,一張圖大概需要3000字節,也就是2000 K gas,約600美元,其成本將會是普通URL上鏈成本的50倍,1萬張圖就是600萬美元。

倘若再遇到以太坊網絡擁堵,獨立上鏈的gasPrice成本將超出想象。

所以說,從成本上考慮,URL是目前雖然有漏洞卻是最具性價比的選擇。

那么,黑客們究竟是如何一步步從潛在的技術漏洞,到真正竊取他人的NFT資產的呢?

據鏈圈專業人士介紹,盡管區塊鏈賬戶號稱是不可變的,但智能合約比許多人想象的更容易被竊取和偽造。而且,由于NFT交易可能會帶來豐厚的利潤,黑客就有了進一步攻擊的動機。

葉新告訴《鏈新》,近年來NFT 市場頻發資產被盜事件主要原因是NFT資產的價值及流通性大幅提升。事實上,個人錢包被盜事件一直很多,只是過去談的是加密貨幣,現在談的是NFT,黑客們自然會在掌握受害者私鑰后將 NFT 轉走套現。

這卻是一件吊詭的事:NFT是一種防篡改的電子賬本,對原始數字藝術進行認證和定義,還可以向藝術家提供永久的交易分成;人們基于相信制作NFT的區塊鏈技術會帶來切實好處而引發2021年上半年的“NFT搶購潮”和逐漸走高的價格;而這個價值24億美元的新興行業所使用的技術基礎卻很差,無法實現它所給出的承諾,短時間內還無法找到根治之策。

既然如此,或許嘗試了解黑客們盜走NFT的方式,能在某種程度上減少一些受害者。

據《鏈新》了解,用戶NFT數字資產被盜就是因為所屬錢包私鑰遭到了泄露或用戶在不知情的情況下授權了非法轉賬交易行為。而要做到這一點,離不開用戶的“配合”,簡單來說,即用戶在不知情的情況下進行了授權,可能有以下三種情況:?

1.用戶沒能保管好私鑰,比如將私鑰信息儲存在郵箱等云存儲上,或是誤發到通信軟件或是誤貼到釣魚網站等,也就是所謂的“私鑰觸網”。例如在缺乏 2FA (雙因素驗證)的情況下,黑客可以暴破郵箱弱口令將私鑰截獲;

2、用戶錯誤授權,黑客可利用搭建虛假網站、虛假錢包或者構建虛假項目騙取用戶授權,進而利用智能合約中 approve/transferFrom 的特性在用戶沒有感知的情況下盜取資產。在 NFT 的場景,由于資產可能帶有圖片或視頻,還存在一個有別于幣的攻擊面,黑客可能通過交易網站的漏洞由惡意圖片觸發看似合法的授權彈窗,誘騙用戶點擊;

3、私鑰存儲設備被入侵,這是更進階的一種盜取私鑰的方式。任何聯網的設備都可能通過釣魚郵件,word 文件等方式被黑客安裝木馬,假設用戶以明文方式存儲私鑰或者加密口令過于簡單,黑客都可能遠程盜取私鑰,因此儲存私鑰的設備需要即時更新安全補丁及安裝防軟件定期掃描,用冷錢包操作私鑰是更安全的做法。

要杜絕此類事件發生,除了要知道黑客們慣用手段、提高日常警惕之外,不同平臺之間權責明晰也非常必要,可NFT正處于萌發階段,現有制度和人們的共識還未完善,需要時間搭建完整體系。

不過在葉新看來,對于個別用戶因私鑰被盜或被釣魚造成的 NFT 盜竊事件,目前來看責任主要在于用戶自己。這是加密市場去中心化市場的主要特性。

而錢包方、交易平臺、拍賣平臺有義務在產品使用過程中層層設防,在自身安全保障過硬的基礎上,還應做好用戶安全意識教育,釣魚詐騙陷阱普及等認知教育工作。

體系不夠健全,行業自當努力,NFT的存儲方式有問題需要解決,不少區塊鏈創業公司都希望能在這里裨補闕漏、貢獻力量。

比如,區塊鏈服務和安全公司RubiX的CEO和創始人尼廷·帕拉瓦利(Nithin Palavalli),它們認為目前的存儲選擇還不夠,于是發明了一種新的機制——通過該模型在區塊鏈上驗證交易,允許用戶在鏈上存儲大量數據,幫助資產防護黑客攻擊。

而對于那些看重NFT中文件的用戶來說,文件的丟失可能會令人崩潰。

對此,RubiX與藝術家合作,使用生物識別技術訪問創建了一種安全性更高的文件,還與微軟智能安全協會(Microsoft Intelligent security Association)合作,開發了幾個分散的安全協議,作為區塊鏈安全產品的一部分,這些解決方案或許會令NFT市場更好地運轉。

另外,知識產權律師杰夫·格魯克(Jeff Gluck)一直關心著與藝術家們權利息息相關的智能合約。他表示,由于沒有鑄造的集中標準,藝術家最終會被騙去轉售分成,于是他創立了提供智能合約的CXIP實驗室,可以對任何平臺協議進行轉譯。

儲存選擇、文件流失、智能合約,似乎一切正如葉新所言,漏洞是暫時的,需要在行業進步過程中一點點規避的。就像早期的 DeFi 協議也存在大量攻擊事件,但隨著項目開發者普遍安全意識提升,攻擊事件就逐步降低,NFT市場也會經歷這么一個過程。

Tags:NFT比特幣NIFTNIFBGAN Vault (NFTX)李晨比特幣5個億爆倉怎么翻身NiftyMojiunif幣官網

DOGE
QUO:人才戰爭新武器DAO:消解傳統公司結構的同時 并不保證消除傳統問題_DAO

注:原文作者為Dror Poleg,以下為全文編譯。 在2021年,辦公室并不是唯一為其生命而戰的企業建筑。公司本身也受到了威脅。但取代它的東西可能不會更加公平或仁慈.

1900/1/1 0:00:00
區塊鏈:北京和上海網信辦公布互聯網新聞信息服務單位許可名單_科技股

2017年6月1日起,《互聯網新聞信息服務管理規定》(國家互聯網信息辦公室令第1號)實施。根據《規定》,通過互聯網站、應用程序、論壇、博客、微博客、公眾賬號、即時通信工具、網絡直播等形式向社會公.

1900/1/1 0:00:00
ENS:一周必讀10篇 | 智能合約中的并發性和并行性_以太坊

1.智能合約中的并發性和并行性并行處理所有交易是不合理的。按照設計,所有交易都試圖改變整個全局狀態.

1900/1/1 0:00:00
THE:Tether 的 690 億美元儲備金之謎_HER

今年7月,美國財政部長珍妮特·耶倫 (Janet Yellen) 召集美聯儲 (Fed) 主席、證券交易委員會(SEC) 主席 以及其他六名高級官員開會討論 Tether.

1900/1/1 0:00:00
EFI:如何避免參與有跑路風險的Defi項目?5個方法手把手教你識別_DeFi Coin Bonus

“這個項目會跑路嗎?” 如果你是 DeFi 投資者,那對你來說最擔心的不過是這個問題。這可以通過多種方式發生,例如,當開發人提供初始流動性后,抬高價格,然后在投資者退出前再撤回流動性.

1900/1/1 0:00:00
NFT:DeFi周刊 |DeFi 平臺 EQIFI 推出加密萬事達卡_DEF

1.DeFi總市值:1471.13億美元 市值前十幣種價格及本周漲跌幅,數據來源:CoinGecko2.去中心化交易所24小時交易量:30.8億美元 過去24小時DEX交易量 數據來源:Deba.

1900/1/1 0:00:00
ads