有爆料稱，上周六，NFT 交易平臺(tái) OpenSea 的用戶被攻擊者竊取了數(shù)百個(gè) NFT，此事件在該網(wǎng)站廣大用戶群中引發(fā)了深夜恐慌。大約 3 個(gè)小時(shí)內(nèi)，共有 254 枚代幣被盜，Opensea 聯(lián)合創(chuàng)始人兼首席執(zhí)行官德文·芬澤（Devin Finzer）稱該網(wǎng)站目前良好，并表示“據(jù)我們所知，受影響的人是‘網(wǎng)絡(luò)釣魚攻擊’的受害者。”

區(qū)塊鏈安全服務(wù)機(jī)構(gòu) PeckShield 編制的一份電子表格統(tǒng)計(jì)了攻擊過(guò)程中被盜的 254 枚代幣，其中包括 Decentraland 和 Bored Ape Yacht Club 的代幣。

大部分攻擊發(fā)生在美國(guó)東部時(shí)間下午 5 點(diǎn)至 8 點(diǎn)之間，目標(biāo)總共是 32 名用戶。據(jù)業(yè)內(nèi)人士估計(jì)，被盜代幣的價(jià)值超過(guò) 170 萬(wàn)美元。

“他們都有有效簽名”

這次攻擊似乎利用了 Wyvern 協(xié)議的靈活性，Wyvern 協(xié)議是大多數(shù) NFT 智能合約（包括 OpenSea 上的合約）的開(kāi)源標(biāo)準(zhǔn)。OpenSea CEO 德文·芬澤（Devin Finzer）在 Twitter 上從兩個(gè)方面解釋了此次攻擊：首先，目標(biāo)公司簽署了一份部分合約，獲得了一般授權(quán)，合約大部分內(nèi)容處于留白狀態(tài)。簽名到位后，攻擊者通過(guò)調(diào)用自己的合約來(lái)完成合約，該合約在不付款的情況下轉(zhuǎn)讓了 NFT 的所有權(quán)。本質(zhì)上，被襲擊目標(biāo)簽署了一張空白支票——一旦簽署，攻擊者就可以填寫支票的其余部分，并拿走他們的財(cái)產(chǎn)。

OpenSea CTO Nadav 發(fā)推表示受攻擊者均具備有效簽名

“我檢查了每筆交易，”一位名叫 Neso 的用戶說(shuō)。“他們都有丟失 NFT 的有效簽名，因此，任何聲稱他們沒(méi)有被網(wǎng)絡(luò)釣魚就丟失 NFT 的說(shuō)法都是站不住腳的。”

在最近的一輪融資中，OpenSea 價(jià)值 130 億美元，已成為 NFT 熱潮中最有價(jià)值的公司之一，它為用戶提供了一個(gè)簡(jiǎn)單的界面，可以在不直接與區(qū)塊鏈交互的情況下列出、瀏覽和競(jìng)價(jià)代幣。這一成功帶來(lái)了重大的安全問(wèn)題，因?yàn)樵摴疽恢痹谂c利用舊合約或有毒代幣竊取用戶寶貴財(cái)產(chǎn)的攻擊作斗爭(zhēng)。

攻擊發(fā)生時(shí)，OpenSea 正在更新其合約系統(tǒng)，但 OpenSea 否認(rèn)攻擊源自新合約。目標(biāo)數(shù)量相對(duì)較少，不太可能出現(xiàn)這種漏洞，因?yàn)楦鼜V泛平臺(tái)中的任何漏洞都可能被更大規(guī)模地利用。

盡管如此，攻擊的許多細(xì)節(jié)仍不清楚——尤其是攻擊者用來(lái)讓目標(biāo)簽署半空合約的方法。美國(guó)東部時(shí)間凌晨 3 點(diǎn)前不久，Devin Finzer 在 Twitter 上寫道，這些攻擊并非源于 OpenSea 的網(wǎng)站、各種上市系統(tǒng)或該公司的任何電子郵件。攻擊的速度很快，在幾個(gè)小時(shí)內(nèi)進(jìn)行了數(shù)百次交易——表明存在某種常見(jiàn)的攻擊媒介，但迄今為止尚未發(fā)現(xiàn)任何聯(lián)系。

NFT 頻頻出事

“NFT 正處于 ICO（首次代幣發(fā)行）階段，任何人都可以雇用藝術(shù)家來(lái)創(chuàng)造一定數(shù)量的 NFT，然后與加密領(lǐng)域的網(wǎng)紅大肆炒作。”區(qū)塊鏈公關(guān)公司 Light Node Media 的聯(lián)合創(chuàng)始人兼 CEO Nelson Merchan Jr. 認(rèn)為。這樣的炒作使人們很難辨別，到底誰(shuí)是值得信賴的創(chuàng)作者或誰(shuí)是騙子。現(xiàn)在 NFT 收藏者和創(chuàng)作者都使用著流行的 NFT 圖片（PFP），并且在 Twitter 上匿名，這就使得騙局更難以被識(shí)破。

因此，容易受騙的并不只有新手。加密貨幣的自身投資者與收藏家身價(jià)暴跌的例子并不在少數(shù)。

常見(jiàn)的 NFT 騙局

過(guò)去一年中，NFT 的總價(jià)值已飆至數(shù)十億美元，成為加密貨幣行業(yè)的重要部分。一些頂級(jí)收藏品（如 Cool Cats 和 Bored Ape Yacht Club）的交易價(jià)格超過(guò)了 30,000 美元。隨著 NFT 的蓬勃發(fā)展，加密領(lǐng)域的騙局也變得越來(lái)越復(fù)雜莫測(cè)，學(xué)習(xí)如何規(guī)避它們就變得十分重要。

1、釣魚詐騙與彈窗

在購(gòu)買加密貨幣前，通常需要注冊(cè)一個(gè)基于以太坊區(qū)塊鏈進(jìn)行交易的錢包。MetaMask 可能是最受 NFT 收藏者歡迎的以太坊錢包。然而，MetaMask 的用戶最近成為了一個(gè)網(wǎng)絡(luò)釣魚騙局的目標(biāo)，該騙局借助虛假?gòu)V告信息，要求用戶提供私人錢包鑰匙。

或者通過(guò) Discord、Telegram 和其他公共論壇彈出惡意虛假?gòu)V告窗口，鏈接到類似 MetaMask 或其他錢包網(wǎng)站的頁(yè)面。如果不懷好意者通過(guò)網(wǎng)絡(luò)釣魚獲得了買家的私人信息，他們便可以轉(zhuǎn)移其數(shù)字錢包中的所有加密貨幣。

2、虛假信息

NFT 的交易過(guò)程是虛擬的，所有營(yíng)銷都在社交媒體上進(jìn)行。因此用戶很容易被“鯰魚”（指在社交媒體上使用虛假身份的欺詐者）欺騙。許多備受歡迎的 NFT 社區(qū)通常雇用網(wǎng)紅和名人進(jìn)行推廣，使得騙局真假莫辨。

如果聲稱是創(chuàng)始人、名人或網(wǎng)紅給你發(fā)了消息，請(qǐng)不要回應(yīng)。NFT 世界中的一條潛規(guī)則是，加密社區(qū)高層永遠(yuǎn)不會(huì)給用戶直接發(fā)送私信，除非你先私信了他們，或者你們?cè)谥T如 Twitter 或 Discord 的公共平臺(tái)上就某件事看法一致。

3、拋售圈套

在加密貨幣和 NFT 領(lǐng)域，拋售圈套已經(jīng)成為了一種現(xiàn)象。當(dāng)一個(gè) NFT 項(xiàng)目擁有了更多買家，就有了更多流動(dòng)性，賠率就會(huì)變小。一部分人故意買下一堆 NFT 或者加密貨幣，人為地推動(dòng)需求大幅上升。一旦成功，騙子就會(huì)在價(jià)格高漲時(shí)套現(xiàn)，只把毫無(wú)價(jià)值的資產(chǎn)留給其他買家。

某收藏者稱，“如果一個(gè)項(xiàng)目中，5000 個(gè) NFT 被 20 個(gè)頂級(jí)收藏者控制了，并且他們都沒(méi)有要出售它們的意思，那么其他想要買入該系列藏品的人，都必需以非常高的底價(jià)買入。”

4、競(jìng)價(jià)騙局

競(jìng)價(jià)騙局主要發(fā)生在二級(jí)市場(chǎng)上。購(gòu)買了 NFT 后，你會(huì)想要將它轉(zhuǎn)賣給出價(jià)最高的人。當(dāng)你公開(kāi)銷售 NFT 的時(shí)候，競(jìng)標(biāo)者可能會(huì)在不告知你的情況下，調(diào)換所使用的貨幣。很可能原本以 5ETH 出售的 NFT，最后以 5 美元的價(jià)格成交。因此，請(qǐng)仔細(xì)檢查交易時(shí)所使用的貨幣種類，不要接受低于你預(yù)期的出價(jià)。

5、贗品 NFT

OpenSea 具有適合新手操作的易用性，因此任何人都可以將任意照片或圖像變成 NFT，即便他們不擁有該圖像的知識(shí)產(chǎn)權(quán)。騙子很容易就能竊取藝術(shù)家的作品，注冊(cè)假冒的 OpenSea 賬戶，拍賣假的藝術(shù)品。將一件藝術(shù)品鑄成 NFT 并不等于擁有它的知識(shí)產(chǎn)權(quán)（IP）所有權(quán)。

在購(gòu)買 NFT 之前，請(qǐng)做好調(diào)查，確保自己是從正規(guī)賬戶購(gòu)買藝術(shù)品。這些正規(guī)賬戶通常會(huì)具有藍(lán)色的認(rèn)證標(biāo)志。

6、缺乏認(rèn)證的儲(chǔ)存網(wǎng)站

買家購(gòu)買的 NFT 可能會(huì)消失不見(jiàn)，因?yàn)榛趨^(qū)塊鏈（NFT）的合約與實(shí)際的藝術(shù)品是不同的。假如你把原創(chuàng)音樂(lè)以 MP3 格式上傳到了 OpenSea 一類的平臺(tái)上，如果收藏者想購(gòu)買它，就會(huì)用 ether 進(jìn)行支付，這樣，一種被稱為“智能合約”的所有權(quán)記錄就被創(chuàng)造了出來(lái)。

要將藝術(shù)品、房契或其他涉及到智能合約的內(nèi)容儲(chǔ)存在一個(gè)去中心化的平臺(tái)，請(qǐng)確認(rèn)這個(gè)平臺(tái)是可信賴的。請(qǐng)不要購(gòu)買僅僅鏈接到一個(gè)帶有圖片的 URL 的 NFT。因?yàn)樵?URL 上存儲(chǔ)的頁(yè)面或藝術(shù)品可以在未經(jīng)你允許的情況下隨時(shí)更改。

避開(kāi) NFT 騙局的有效方式

此外，這里還整理了一些防范騙局的基本操作，可以幫 NFT 玩家將投資風(fēng)險(xiǎn)降至最低。

1、保管好私人密鑰

騙子會(huì)在 Discord 鏈接中索要用于鑄造 NFT 的加密貨幣，得到之后就會(huì)卷錢溜掉，因此不要把自己的密鑰發(fā)給任何人。在 Twitter 和電子郵件中，騙子也會(huì)索要密鑰。專家建議人們購(gòu)買冷錢包，比如 Ledger 和 Trezor 這類可以插在電腦上的固態(tài) USB，它們比線上存儲(chǔ)更加安全。采用冷錢包就不用把助記詞輸入瀏覽器了，從而能夠更好保護(hù)自己。當(dāng)然你也可以采用雙向驗(yàn)證，設(shè)置更復(fù)雜的密碼。

2、關(guān)閉 Discord 私聊

專家建議人們最好直接關(guān)閉 Discord 的私聊功能。另外，當(dāng)你需要幫助的時(shí)候，最好的辦法是聯(lián)系 NFT 交易網(wǎng)站的客服，而不是社區(qū)中的其他人。如果騙子獲得了管理員權(quán)限，就可以在公告頻道發(fā)布虛假鑄幣鏈接，描述得就像天上掉餡餅一樣。比如：“鑒于大量的公眾需求，我們將發(fā)放一千余個(gè) NFT”等等，多數(shù)情況下，騙子故意用已售出的藏品行騙。但是真正的項(xiàng)目會(huì)通過(guò)指定渠道公布動(dòng)態(tài)。

3、警惕空投

騙子可能會(huì)空投虛假代幣給你。虛假代幣經(jīng)常會(huì)空投到自己的線上錢包里。代幣以網(wǎng)頁(yè)鏈接的形式命名，誘導(dǎo)用戶進(jìn)入釣魚網(wǎng)站。任何人都可以隨時(shí)隨地向任意用戶發(fā)送代幣，而錢包是被動(dòng)接收的，就像電子郵件的收件箱一樣，最好的辦法就是無(wú)視它。

但虛假空投也起到一定的篩選作用，如果騙子用沒(méi)有價(jià)值的收藏品創(chuàng)建了項(xiàng)目，并空投到用戶的錢包里，用戶就可以辨別出這個(gè)項(xiàng)目是有水分的。

寫在最后

NFT 可謂能確權(quán)一切。以區(qū)塊鏈為基礎(chǔ)，NFT 在不可篡改、公開(kāi)透明、可溯源的特點(diǎn)上，增加了獨(dú)一無(wú)二的特性。天然的收藏屬性使其首先得以與藝術(shù)品掛鉤，但也可映射房產(chǎn)、土地、汽車等實(shí)物，甚至是虛擬資產(chǎn)。但任何新技術(shù)的發(fā)展都有一個(gè)由粗到細(xì)的發(fā)展歷程。就安全方面，目前 NFT 已經(jīng)出現(xiàn)了版權(quán)、重復(fù)銷售、失竊和存儲(chǔ)等問(wèn)題，入局玩家不得不防。