就在刚刚过去的愚人节,周杰伦在 Instagram 上发文称,自己此前获赠的BAYC #3738被钓鱼网站偷了。
但这并不是一个愚人节玩笑,因为周杰伦在文后附上了 #大家请小心 和 #这不是愚人节玩笑 的标签。
?️ © 手机截图
周杰伦被盗的NFT属于当下圈内最火系列BAYC(无聊猿游艇俱乐部),按当前价格计算,该NFT价值超320万元人民币。
?️ 小蓝之前曾经对该系列有过详细介绍,欢迎点击回顾
此外,周杰伦持有的一枚MAYC和两枚Doodles同样被盗。作为国民级歌手,此次NFT被盗事件,无疑引发了人们对于NFT安全性的担忧。
根据Looks Rare显示的信息,该NFT在从周杰伦地址转出后短短1个小时内便被多次转手,并分别以130 ETH、155 ETH的价格转手交易。
据悉,此次事件是源于点击钓鱼链接,周杰伦的钱包地址在11时02分时签名了授权交易,将NFT的权限授予了攻击者钱包,然后攻击者在11时07分将无聊猿BAYC #3738 NFT转移到自己的钱包地址中。
虽然造成了一定的损失,但周杰伦似乎并未过于在意,他在社交平台中吐槽道,“是不是应该跟大哥(黄立成)再要一只。”
在此前黄立成赠予周杰伦NFT钱包中,一共拥有62个NFT藏品,其中不少由周杰伦以前的专辑封面构成,包括《范特西》《七里香》等。
?️ 周杰伦旗下的时尚品牌PHANTACi还在今年1月1日发售了其设计制作的NFT产品Phanta Bear,欢迎点击回顾
然而周董事件仅仅过去的两个小时后,Peck Shield Alert也发推称自己的BAYC Discord账号遭受攻击,BAYC#8662被盗,起因同样是黑客利用机器人账号在频道内发布了虚假链接。
?️ 转手交易记录 © 电脑截图
但此次事件的余波还在继续,被盗的不仅仅是BAYC系列,根据各个项目的官方消息显示,Doodles、Nyoki、Shamanz、Zooverse、Dreadfuls、Freaky Labs、Kaijukingz都于昨日均被黑客攻击。
一日之内爆发如此多的攻击行为,自然是因为NFT蕴藏的巨大经济利益。
根据Dapp Radar数据显示,2021年全年NFT的交易额超过230亿美元,其中无聊猿系列的总销售额就超过10亿美元,总市值超35亿美元,交易人数破万,市场底价也近35万美元。
?️ 无聊猿系列 © 百度图库
目前该系列售出的最贵的NFT(编号Bored Ape #8585)售价更是高达270万美元,约1728万元人民币。
随着价格的上升,巨大的获利空间自然让NFT成了众多不法分子和黑客们的目标。
今年2月时,海外一名用户就发文称自己刚刚丢失了所有的BAYC 系列NFT,这些NFT随后被黑客以低10倍左右的价格转卖了。
他表示,黑客以100个以太坊卖掉了他的所有藏品,总价值仅约180万元人民币,但按照市场价值来看,他的藏品价值应该在1728万元人民币。
事后虽然这些NFT被Opensea“冻结”。但实施盗窃的黑客的电子钱包已经成功转移了价值约150万美元的600以太坊到其Tornado Cash的账户上。
?️ 该用户的求救推文 © 电脑截图
目前,Opensea已针对这起安全事件给出风险警示,larrylawliet.eth的地址及相关NFT被加红标记。
根据该用户自己的表述,其实造成本次失窃的直接原因与周杰伦基本相同:都是由自己钱包的隐私信息泄漏导致。
除了无聊猿以外,另一个知名系列Axie Infinity同样被黑客盯上。
在3月23日,Sky Mavis的Ronin验证节点和Axie DAO验证节点遭到入侵,导致173600个以太坊和2550万枚USDC在两笔交易中从Ronin Bridge中流失。
?️ Axie Infinity系列 © 百度图库
这一事件损失了价值6.25亿美元(约合39亿人民币)的加密货币,然而直到一周后游戏开发公司在有用户反馈部分功能无法实现时,才发现了问题所在。
除了这些知名IP遭受攻击的事件以外,其他大大小小的攻击事件更是不胜枚举。
根据区块链被黑档案库Slowmist官网的数据,在过去10余年内有报道或官方通告的区块链被黑客攻击案件就高达676起,平均每个月都会有6起相关事件。
在这600余起事件中,其中有金额记录的所有案件,合计损失更是高达259亿美元,约合人民币1643亿元。
仅今年3月,全球范围内大大小小就发生了28起有新闻报道或官方通告的黑客攻击事件,手法从传统的钓鱼信息到Sky Marvis这种利用平台漏洞的都有。
?️ Slowmist官网 © 电脑截图
现在我们将范围放宽到2022年,会发现很多案件的数额触目惊心:
3月23日,Solana上的稳定币项目Cashio也遭遇黑客攻击,非法增发了20亿CASH代币,非法获利高达5200万美元。
2月12日,美国提供退休账户的平台IRA Financial Trust遭到攻击,损失高达3600万美元。
2月2日,黑客同样利用Wormhole网络中的签名验证漏洞,在Solana平台上铸造了12万Ether,价值高达3.26亿美元。
1月28日,去中心化借贷项目QBridge旗下的借贷产品Qubit 遭到黑客攻击,损失高达8000万美元。
去年8月10日,异构链跨链互操作协议Poly Network宣布,自己被黑客入侵:这次黑客攻击事件,导致了高达6亿美元的损失。
一名自称“白帽先生”的黑客在三十多分钟内,就转移了包括5.5万枚以太坊、2000枚比特币等在内,总价值超过6.1亿美元的资产。
?️ © 百度图库
后来还是该黑客选择主动与Poly Network展开对话并交回了所有盗取的资金,事情才算告一段落。
然而即便如此众多的前车之鉴,也并没有引起后来者对安全的足够重视:
同样的事件从去年到今年不断重演,损失也一次比一次严重,好转的拐点遥遥无期。
由于NFT具备唯一标识的特点,利用区块链技术,这些数字作品的虚拟财产权,包括出处、品牌和背后具有影响力的人都可以被准确地追踪。
虽然提及区块链就是各种去中心化、Web3.0、无法被破解,不可篡改等关键词,但由于整个区块链生态不可能离开组成虚拟世界的种种代码,因此区块链整体的安全性远比很多人想象的更加脆弱。
中国移动通信联合会元宇宙产业委员会执行主任于佳宁就曾表示,在区块链的世界里,NFT资产存放在链上钱包里在不出现操作失误的情况下,是安全的。
但如果某个用户没有保管好钱包私钥,将私钥或对应的助记词信息泄露给其他人,那么拿到私钥的黑客就可以盗窃其钱包中的NFT。
另外,NFT的背后是智能合约,如果智能合约在代码层面存在漏洞,黑客也可以通过攻击漏洞来转移资产。
于佳宁指出,目前NFT领域在安全上存在操作风险、技术风险、道德风险这三大类风险:
第一类是操作风险,主要指的是用户因不当操作导致私钥泄露而引发的风险。也包括转移资产时填错地址导致资产丢失的风险。
第二类是技术风险,NFT的背后是智能合约,其中所有的操作都是通过一行行的代码来执行,如果这些代码不完善,很容易被黑客钻空子,对项目进行攻击。
第三类是道德风险,这主要指的是一些项目方作恶,以NFT为噱头浑水摸鱼,欺诈用户,骗取用户的虚拟资产。
虽然本期涉及的仅仅是前两类风险,但即便是这两类风险,如果在一次次事件后始终得不到合理解决,无疑会对NFT的发展造成不可估量的负面影响。
?️ © 百度图库
未来任何想要进入NFT相关领域的公司与个人,都会在入局前反复拷问自己:
平台的安全系统是否牢不可破,平台内是否有内鬼对监守自盗毫不动心,平台是否有足够的积累,来面对最糟糕的情况。
前段时间,微软网络安全负责人查理·贝尔也在博客中表示:
元宇宙或许会带来很多新的可能,但也必然会面对一些安全问题,行业亟需寻找对应的应对方案。
而更可怕的是,倘若有一天用户对NFT的安全性彻底丧失信心,不仅会威胁到与之息息相关的各种技术的发展,还将对现有的元宇宙平台造成致命打击。
?️ © 百度图库
作为刚刚起步的愿景,用户是支撑元宇宙发展的重要支柱,当用户对元宇宙中各种底层技术的安全性都存疑时,元宇宙的一切愿景只会是一纸空谈。
就如查理·贝尔在博客中所强调的:“如果平台不能未雨绸缪,那么元宇宙就必然会失败”。