“警报!警报!警报!”,一只手机躺在床头柜上,吱哇乱叫。
Michael J(以下简称MJ)熟睡中被惊醒,拿起手机一看,来自加密艺术平台Nifty Gateway出售商品警报、各个信用卡商的欺诈警报,充斥着他的手机界面。
“坏了!”MJ瞬间清醒,一下子坐起身来,火速打开Nifty Gateway准备转移资产,可惜为时已晚,他所有的NFT收藏品全被清空,黑客甚至还用MJ的数字钱包购买了价值1万美元的新NFT,一并转走了。
几分钟时间,MJ价值数十万美元的NFT藏品化为乌有,再也找不回来了。
Nifty Gateway是一家注册在美国的加密艺术品交易平台。
有人说,这种情况不能找Nifty Gateway维权吗?NFT数字作品不是锚定产权人,不可更改吗?难道没有办法吗?MJ也这么想,找到Nifty Gateway。
“由于记录了包括转账在内的所有交易,因此我知道我被盗的NFT发送到的2个具体帐户以及购买人信息。”MJ将此提供给Nifty Gateway,此时黑客在Discord频道上寻找买家。
对此,Nifty Gateway发表声明说,正在对MJ事件进行分析。“初步评估表明此事件影响有限,未受影响的帐户都启用了2FA(Two-factor-authentication双元验证法),并且可以通过有效的帐户凭据获得访问权限。”
Exmo遭到黑客攻击,黑客将资金转入Poloniex:12月25日消息,欧洲加密交易所EXMO被黑客攻击盗取资产,被将资产转移到了Poloniex。 Poloniex合规部门发言人证实称,在其收到Exmo团队的信息后,官方第一时间冻结了相关账户。 但是不幸的是,Exmo通知Poloniex的几个小时前,黑客已经进行了资产提现。
此前12月21日消息,Exmo出现重大安全漏洞,官方已冻结提款,BTC、XRP、ZEC、USDT、ETC 和ETH六种加密货币受到影响。官方表示,在12月25日至26日恢复存取款。(Cointelegraph)[2020/12/25 16:30:48]
在境外NFT炒作浪潮里,除了价格泡沫外,参与者还会面临资产安全风险。
事实证明,随着NFT大热,资本快速涌入,网络罪犯也在将他们的注意力转向NFT领域。近几个月来,NFT市场蓬勃发展,数字艺术品资产被盗事件也发生的越来越频繁。
强大的元宇宙难道无法保护一张数字图片吗?为此,《链新》采访了多位一线技术人员,试图分析出NFT数字资产被盗一事背后的底层技术逻辑、隐藏问题、行业看法以及可防范措施。
通过入侵加密交易所等手段 朝鲜黑客收入已超20亿美元:朝鲜正通过入侵加密货币交易所、国际金融交易网络、ATM机系统来获取资金,估计朝鲜黑客收入已超20亿美元。今年有报告称,2015年至今,朝鲜黑客已窃取了价值15亿美元的加密货币。(news.joins)[2020/9/4]
2021年4月,黑客珀森从佳士得的网站上下载并伪造了Beeple的《每一天:第一个5000天》文件,然后通过Beeple钱包铸造了另一个铸币,在一个NFT平台上挂牌出售。
做完这一切,珀森在自己的网站NFTheft上,发表了一篇题为《我为什么这么做》的文章,直言:“才华横溢、经验丰富的创作者无法为他们的作品提供任何必要的保障。”,“没有任何权利或保护措施来防止他们的艺术品被盗或被误用。”
这是黑客珀森的一场行为艺术,但他说的话却比他的行为更吸引人。
业内人士告诉《链新》,一个典型的NFT常分成两个独立的部分,存储在链上的智能合约或ERC-721标准规范,以及数字艺术品本身。目前,访问艺术品的主要模式是使用URL(网络地址),而非数字作品直接上链。
从事数字艺术品的经营的凯拉尼·尼科尔(Kelani Nichole)曾公开表示对ERC-721的质疑,称这种模式是危险的,其直言 “如果哪天NFT平台的服务器宕机了,或者他们的IPFS(分布式文件存储系统,一种常见的防护措施)节点宕机了,你花很多钱买的内容将无法访问”。?
动态 | Travelex遭勒索软件感染,黑客索要价值600万美元的比特币:1月8日消息,英国货币兑换网站Travelex在新年前夕遭到Sodinokibi勒索软件感染,被迫关闭网站系统。据悉,Sodinokibi的勒索软件团伙要求必须支付价值600万美元的比特币赎金(Bitcoinist)[2020/1/8]
事实上,即便是用户采用了IPFS进行维护,还有不少因素同样会导致URL被破坏,以至于类似Checkmynft.com(用户可以插入合同地址和令牌ID检查URL状态检验)等平台应运而生。
而就在今年3月,Checkmynft发现,已经使用过IPFS存储的Grimes、DeadMau5和Steve Aoki等用户的NFT出现无法加载的情况,最终文件外流。虽然文件外流没有对市场造成太大影响,却也加重了人们对NFT的储存方式的担忧。
既然如此,为什么不直接选择,简单直接的数字艺术品直接上链呢?
艾贝链动 CEO 叶新告诉《链新》记者:“NFT选择基于智能合约URL指向的形式存在,还是作为独立的作品直接上链,本质上是成本问题。”
艾贝链动是一家区块链领域安全产品与技术服务公司,业务集中在数字身份、数字资产凭证、资产追踪服务等方面。
俄罗斯根据黑客证词调查数十亿美元案:据Sputniknews消息,俄罗斯已对亚历山大·文尼克(Alexander Vinnik)的供词展开调查。据悉,文尼克是一名俄罗斯人,因被指控在比特币交易平台参与40亿到90亿美元规模的活动而应美国要求被关押在希腊监狱中。[2018/5/11]
简单计算两种储存方式的成本,目前来说,以太坊的存储成本是256bit=32字节=20 K gas,假设当前gasPrice是100 gwei,ETH价格为3000美元,那20K gas成本就为6美元。
普遍URL都在64字节以内,所以一个URL在以太坊网络正常情况下的存储成本大约是12美元左右,通常NFT合约只存了一份URL前缀并使用不同的id拼接出完整的URL。
但如果是独立上链的话,以Cryptopunk为例,一张图大概需要3000字节,也就是2000 K gas,约600美元,其成本将会是普通URL上链成本的50倍,1万张图就是600万美元。
倘若再遇到以太坊网络拥堵,独立上链的gasPrice成本将超出想象。
所以说,从成本上考虑,URL是目前虽然有漏洞却是最具性价比的选择。
第四季度个人电脑被黑客劫持用于数字货币挖矿的案件增加了85倍:网络安全巨头Symantec近日发布的《2017网络安全威胁报告》称,2017年第四季度,个人电脑被黑客劫持用于数字货币挖矿的案件增加了85倍,占12月所有网络攻击的24%,占第四季度所有网路攻击的16%,这与去年比特币及其它数字货币的崛起有很大关联。总体来看,加密劫持在2017年的发生数量上涨了34000%[2018/3/22]
那么,黑客们究竟是如何一步步从潜在的技术漏洞,到真正窃取他人的NFT资产的呢?
据链圈专业人士介绍,尽管区块链账户号称是不可变的,但智能合约比许多人想象的更容易被窃取和伪造。而且,由于NFT交易可能会带来丰厚的利润,黑客就有了进一步攻击的动机。
叶新告诉《链新》,近年来NFT 市场频发资产被盗事件主要原因是NFT资产的价值及流通性大幅提升。事实上,个人钱包被盗事件一直很多,只是过去谈的是加密货币,现在谈的是NFT,黑客们自然会在掌握受害者私钥后将 NFT 转走套现。
这却是一件吊诡的事:NFT是一种防篡改的电子账本,对原始数字艺术进行认证和定义,还可以向艺术家提供永久的交易分成;人们基于相信制作NFT的区块链技术会带来切实好处而引发2021年上半年的“NFT抢购潮”和逐渐走高的价格;而这个价值24亿美元的新兴行业所使用的技术基础却很差,无法实现它所给出的承诺,短时间内还无法找到根治之策。
既然如此,或许尝试了解黑客们盗走NFT的方式,能在某种程度上减少一些受害者。
据《链新》了解,用户NFT数字资产被盗就是因为所属钱包私钥遭到了泄露或用户在不知情的情况下授权了非法转账交易行为。而要做到这一点,离不开用户的“配合”,简单来说,即用户在不知情的情况下进行了授权,可能有以下三种情况:?
1.用户没能保管好私钥,比如将私钥信息储存在邮箱等云存储上,或是误发到通信软件或是误贴到钓鱼网站等,也就是所谓的“私钥触网”。例如在缺乏 2FA (双因素验证)的情况下,黑客可以暴破邮箱弱口令将私钥截获;
2、用户错误授权,黑客可利用搭建虚假网站、虚假钱包或者构建虚假项目取用户授权,进而利用智能合约中 approve/transferFrom 的特性在用户没有感知的情况下盗取资产。在 NFT 的场景,由于资产可能带有图片或视频,还存在一个有别于币的攻击面,黑客可能通过交易网站的漏洞由恶意图片触发看似合法的授权弹窗,诱用户点击;
3、私钥存储设备被入侵,这是更进阶的一种盗取私钥的方式。任何联网的设备都可能通过钓鱼邮件,word 文件等方式被黑客安装木马,假设用户以明文方式存储私钥或者加密口令过于简单,黑客都可能远程盗取私钥,因此储存私钥的设备需要即时更新安全补丁及安装防软件定期扫描,用冷钱包操作私钥是更安全的做法。
要杜绝此类事件发生,除了要知道黑客们惯用手段、提高日常警惕之外,不同平台之间权责明晰也非常必要,可NFT正处于萌发阶段,现有制度和人们的共识还未完善,需要时间搭建完整体系。
不过在叶新看来,对于个别用户因私钥被盗或被钓鱼造成的 NFT 盗窃事件,目前来看责任主要在于用户自己。这是加密市场去中心化市场的主要特性。
而钱包方、交易平台、拍卖平台有义务在产品使用过程中层层设防,在自身安全保障过硬的基础上,还应做好用户安全意识教育,钓鱼陷阱普及等认知教育工作。
体系不够健全,行业自当努力,NFT的存储方式有问题需要解决,不少区块链创业公司都希望能在这里裨补阙漏、贡献力量。
比如,区块链服务和安全公司RubiX的CEO和创始人尼廷·帕拉瓦利(Nithin Palavalli),它们认为目前的存储选择还不够,于是发明了一种新的机制——通过该模型在区块链上验证交易,允许用户在链上存储大量数据,帮助资产防护黑客攻击。
而对于那些看重NFT中文件的用户来说,文件的丢失可能会令人崩溃。
对此,RubiX与艺术家合作,使用生物识别技术访问创建了一种安全性更高的文件,还与微软智能安全协会(Microsoft Intelligent security Association)合作,开发了几个分散的安全协议,作为区块链安全产品的一部分,这些解决方案或许会令NFT市场更好地运转。
另外,知识产权律师杰夫·格鲁克(Jeff Gluck)一直关心着与艺术家们权利息息相关的智能合约。他表示,由于没有铸造的集中标准,艺术家最终会被去转售分成,于是他创立了提供智能合约的CXIP实验室,可以对任何平台协议进行转译。
储存选择、文件流失、智能合约,似乎一切正如叶新所言,漏洞是暂时的,需要在行业进步过程中一点点规避的。就像早期的 DeFi 协议也存在大量攻击事件,但随着项目开发者普遍安全意识提升,攻击事件就逐步降低,NFT市场也会经历这么一个过程。
虚拟货币在境内外的发展正经历“冰火两重天”。近期,多只比特币期货ETF被批准上市交易,国际市场上,虚拟货币交易热情再度被点燃,比特币一度大涨6%,突破历史最高点,最高达到66998美元.
1900/1/1 0:00:00原标题:NFT商业落地中的思考:区块链随着NFT 概念的持续火热,各大互联网应用如推特、TikTok、支付宝和掌握版权、IP 等知识产权的公司都在积极推进NFT 相关合作.
1900/1/1 0:00:00Coinbase 和 FTX 有可能建立具有独特价值主张的 NFT 交易所。随着 Coinbase 和 FTX 公布自己的 NFT 平台和交易服务,NFT 市场格局正在升温.
1900/1/1 0:00:00加密货币得益于其匿名性、去中心化、使用不受地域限制的特点,自产生以来越来越多地被用作支付工具、投融资工具,但同时也伴随着泡沫价格、技术破坏、信用风险、流动性风险、安全风险以及金融欺诈、协助犯罪、和逃税等犯罪风险.
1900/1/1 0:00:001.a16z加密分析师:为什么web3游戏最终会颠覆游戏产业a16z加密投资团队分析师Elena在推特上发文表示,web3游戏将释放用户创造内容的真正潜力,以及web3游戏将颠覆游戏产业.
1900/1/1 0:00:001.金色观察|Polkadot在升级上有什么优势?近期,波卡生态除了kusama在进行拍卖外,生态发展较为平缓,不过如果从技术实践上看,波卡的技术应用可能性远超过以太坊,因为我们看到的以太坊大部分基于代币的应用.
1900/1/1 0:00:00