近日,“无聊猿BAYC”方面确认,BAYC官方账号被黑,导致部分无聊猿等NFT作品被盗,损失超千万美金。
4月25日,BAYC官方Instagram 账号被黑。据BAYC方面称,黑客通过虚假空投发布了一个指向仿冒 BAYC 网站的欺诈链接,并提示用户签署“safeTransferFrom”交易。这将他们的资产转移到了诈骗者的钱包中。据了解,safeTransferFrom 交易是以太坊中的一项功能,旨在检查 NFT(non-fungible token)符合从所有者到接收者 ERC-721 代币转移标准。
“发现黑客攻击后,我们立即通知了我们的社区,从我们的平台上删除了指向受损 IG 账户的链接,并试图恢复该账户。”它在推文中表示,尽管BAYC采用了双因素身份验证并遵循安全最佳实践,但该帐户仍被黑客入侵。BAYC已展开调查,试图找出黑客是如何获得访问权限的。
BAYC 的联合创始人Garga.eth称,4只无聊猿、6只变异猿、3只犬舍和其他“各种有价值的 NFT”被转移给了黑客。根据市场的底价,估计被转移的NFT价值超过 1000 万美元。区块链安全公司派盾表示,黑客盗取了765.3枚ETH及包含BAYC、MAYC、BAKC、CloneX在内的91枚NFT,已经售出了约 23 个 NFT并获得了约 240 万美元。他们向乌克兰 Crypto Donation捐赠了约 1.6枚 ETH,并开始将盗取的ETH转移到 CEX(中心化交易中心)。
本次Instagram 账号被黑事件不是BAYC旗下NFT第一次出现被盗事件,4月1日,周杰伦就在社交媒体上确认,自己名下的无聊猿BAYC NFT遭钓鱼被盗。而区块链黑客的活动范围并未止于BAYC这样的“知名品牌”,而是活跃在整个区块链生态系统内。根据 Atlas VPN 团队的新研究,区块链黑客在 2022 年第一季度的 78 起黑客事件中窃取了大约 13 亿美元。
NFT用户应如何防止被盗?“区块链系统的安全特性并不意味着每个人的NFT等数字资产都不会被盗”,中国移动通信联合会元宇宙产业委员会执行主任、中国通信工业协会区块链专委会共同主席于佳宁对南都湾财社记者介绍称,目前NFT领域在安全上存在操作风险、技术风险、道德风险这三大类风险。
于佳宁介绍称,所谓的“操作风险”,主要是用户因不当操作导致私钥或助记词泄露而引发的风险,“也包括转移资产时填错地址导致资产丢失的风险”。同时,NFT的背后是智能合约,其中所有的操作都是通过一行行的代码来执行,“如果这些代码不完善,很容易被黑客钻空子,对项目进行攻击,这就是技术风险”。另外,也有些钓鱼项目会用欺诈性的活动诱使用户对某个智能合约进行授权,黑客再通过智能合约窃取用户钱包中所有进行过授权的资产。此外,道德风险主要指的是一些项目方作恶,以NFT为噱头非法融资,欺诈用户,骗取用户的数字资产。
于佳宁向用户提出了四点注意事项:“第一,私钥或助记词要用物理方式备份,永不触网。第二,仔细甄别邮件及网站的网址,尽量从官网或项目官方推特或Discord等社群进入项目官网,同时谨慎对待授权,不要在一些小项目或者所谓“免费”领取NFT的网站上对自己的钱包进行授权。第三,仔细查看项目是否经过代码安全审计机构的审计。有效、专业的代码安全审计能有效地排查出已知的智能合约漏洞。第四:定期清理授权项目。在对存放NFT的数字钱包进行授权的时候,一定要确定授权的种类和限额,避免被无良项目卷走资产。同时,要定期清理授权的项目,在进行授权之前再三核对合约地址,对来源可疑智能合约绝不授权。”
采写:南都记者 叶露 实习生 段欣雨