随着 NFT 社区的不断发展,希望从这个价值数百万美元的蛋糕中分一杯羹的恶意行为者的数量也在增加。 结果,NFT 盗窃变得越来越昂贵。 在某些情况下,人们损失了数百万美元。
如果您想开始构建自己的 NFT 集合,首先需要警惕的是社区内的拉扯和诈骗。 但是,一旦您绕过 NFT 骗局并成功保护您所关注的数字物品,您将需要更加勤奋。 请记住:在 Web3 中,第三方不会为您管理一切。 您需要依靠自己和自己的研究。 因此,必须时刻保持警惕,因为盗窃可能会发生——即使是最勤奋的用户也是如此。
考虑到这一点,让我们来看看一些最昂贵的 NFT 损失和盗窃。 这些故事将帮助您更好地了解出了什么问题,以及如何保护自己免受昂贵的 NFT 盗窃。
再见猿猴
至少可以说,切尔西艺术画廊老板托德·克莱默(Todd Kramer)的这一年结束得很不愉快。 克莱默拥有罗斯 + 克莱默画廊,就在 2021 年底,他的一些个人艺术出现了一些问题。 12 月 30 日,Kramer 发现他在全球最大的 NFT 市场 OpenSea 上的个人收藏中的几个 NFT 被盗。
他详细介绍了发生在 此后已被删除的推文. 大多数 NFT 是 Bored Apes 和 Mutant Apes,它们是市场上一些最有价值的 NFT。 最终,克莱默因盗窃而面临约 220 万美元的损失。
Kramer 迅速呼吁 OpenSea 进行干预,OpenSea 立即冻结了平台上的所有交易,直到 Kramer 能够找回他丢失的猿。 这引起了社区中许多用户的愤怒,他们指责他没有将如此昂贵的 NFT 存储在硬件钱包上。 硬件钱包(也称为“冷钱包”)是防止昂贵的 NFT 盗窃的重要工具,因为除非插入它们,否则它们不会连接到互联网。因此,它们更难被破解。
不幸的是,Kramer 使用的是始终连接到互联网的热钱包。 结果,它更容易受到攻击。
用户还批评了 OpenSea 因为他们的参与,因为一些人声称,如果一家公司能够以这种方式冻结交易,NFT 就不是真正去中心化的。 OpenSea 以声明回应了批评。 “OpenSea 是一个区块链浏览器,这意味着我们的目标是为跨不同区块链的 NFT 提供最全面的视图。 我们无权冻结或移除这些区块链上存在的 NFT,但我们确实禁用了使用 OpenSea 买卖被盗物品的能力。 自从这个问题出现以来,我们已经构建了安全工具和流程来打击 OpenSea 上的盗窃。 我们正在积极扩大我们在客户支持、信任和安全以及网站完整性方面的努力,以便我们能够更快地采取行动来保护和授权我们的用户,”他们说。
值得庆幸的是,克莱默最终与他被盗的大部分藏品团聚。 希望这次他能把他们放在一个更安全的地方。
OpenSea 上的更多麻烦
可悲的是,在 Kramer 的猿类被盗后仅一个月,OpenSea 就目睹了另一起备受瞩目的抢劫。 2 月,该平台上的用户发现了价值百万美元的抢劫案。 负责的黑客使用了书中最古老的技巧之一来实现这一目标:网络钓鱼攻击。
这发生在 OpenSea 升级其智能合约基础设施以保护用户免受使攻击者能够以远低于其市场价值的价格购买 NFT 的错误之后的一天。 这是可能的,因为系统中的错误允许旧合约保留在区块链上而不会出现在 OpenSea 中。 许多合同已有数年之久。 通过针对这些合同提出报价,攻击者可以利用过低、过时的价格。
结果,所有 OpenSea 用户都必须将他们的 NFT 列表迁移到新的智能合约中。 黑客使用网络钓鱼攻击来利用迁移。
通过这次成功的攻击,黑客能够引诱 17 名用户将他们的一些高价值 NFT 转移到黑客的 OpenSea 帐户中。 被盗的 NFT 包括 4 个 Azukis、2 个 Coolmans、2 个 Doodles、2 个 KaijuKings 和 1 个 Mutant Ape Yacht Club。 然后他们迅速卖掉了这些 NFT,利润超过 170 万美元。
Nifty Gateway 遭到入侵
3 月又发生了一次代价高昂的 NFT 盗窃事件——但这次是在不同的平台上。 一些 Nifty Gateway 用户前往社交媒体报告他们的帐户已被盗用。
黑客利用这些被盗账户购买和出售价值数十万美元的 NFT。 最糟糕的部分? 由于这些欺诈性交易被记入受影响用户的信用卡,因此帐户被盗的用户被留在了包里。 这要归功于 Nifty Gateway 平台运作的一种特定方式:用户可以免费向他们的信用卡以及他们的加密钱包收取购买费用。
尽管 Nifty Gateway 正式承认了这次攻击,但他们将责任归咎于用户自己,而不是平台上的任何潜在漏洞。 在一份声明中 母板,Nifty Gateway 的一位发言人报告说,“所有受影响的用户都没有启用 2FA(双因素身份验证)。” 这意味着黑客使用简单的网络钓鱼工具来侵占这些帐户,并且能够通过找出受影响用户的密码来获得访问权限。
防止盗窃
并非总是可以避免 NFT 盗窃,但持有者可以采取一些措施来确保自己的安全。 首先,只点击您了解和信任的网站上的链接。 即使链接看起来可能来自您认识的人,也不要假设。 在继续之前始终进行验证。
接下来,请务必在您的所有帐户和硬件上启用多因素身份验证。 这只需要几分钟,而且是关键。 创建一个强密码和 绝不 重用它。 如果一个帐户被盗用,您不希望 全部 您的帐户被盗用。 最后,确保您的秘密恢复短语(也称为助记词或助记符)安全。 永远不要把它给任何人。
在外面保持安全。
