NFT 资产频遭钓鱼袭击，NFT 的安全之路仍任重道远

全球最大的NFT交易平台OpenSea快速修复了一个威胁用户NFT资产安全的漏洞。此前，有用户在社交媒体推特上称，他们经该OpenSea获得免费空投的NFT后，加密钱包里的资产被盗走。区块链安全公司CheckPointResearch正是从受害者那获得了漏洞线索，研究人员调查发现，OpenSea上存在安全漏洞，黑客可能利用漏洞发送恶意NFT以劫持用户的OpenSea账户并窃取他们的加密钱包。全球最大的NFT交易平台OpenSea快速修复了一个威胁用户NFT资产安全的漏洞。此前，有用户在社交媒体推特上称，他们在获得免费空投的NFT后，加密钱包里的资产被盗走了。区块链安全公司CheckPointResearch正是从受害者那获得了漏洞线索，研究人员调查发现，OpenSea上存在安全漏洞，黑客可能利用漏洞发送恶意NFT以劫持用户的OpenSea账户并窃取他们的加密钱包。该安全公司向OpenSea报告了漏洞，双方在9月底就联手修复了这一漏洞，安全事件隔了20多天才得以对外公布，OpenSea专门开辟了一个博客向用户普及去中心化网络安全常识。从漏洞及攻击方式看，这是一起典型的「钓鱼攻击」，这种攻击在互联网世界并不陌生，但经过多年的安全实践，互联网已经对此构建起一定的防御手段，用户也有了防御意识。但在新兴的去中心化网络区块链上，「钓鱼」这种古老的攻击的方式仍在横行，并蔓延到了NFT资产领域，它利用的恰恰是用户对区块链基础设施的陌生感。用户在OpenSea接收NFT空投后钱包被盗

NFT交易市场Zora推出Creator Toolkit白名单功能:9月19日消息，NFT交易市场Zora推出Creator Toolkit白名单功能，用户选择对应的钱包地址，就可让某些社区成员从其个人收藏进行早期Mint，且插入地址时可选择手动输入或通过CSV上传。[2022/9/19 7:04:58]

网友在推特上倾诉的加密资产被盗事件引起了区块链安全公司CheckPointResearch的注意。这些加密资产被盗事件有个共同的引子——用户接收了免费的NFT空投后，钱包被洗劫。「当我们在网上看到有关被盗加密钱包的传闻时，我们对OpenSea产生了兴趣。我们推测，OpenSea周围存在一种攻击方法，因此我们对它进行了彻底调查。」CPR的产品漏洞研究主管OdedVanunu回忆了一个月前的研究经历。在与受害用户取得联系并详细询问后，CPR识别出OpenSea上存在的关键漏洞，证明恶意NFT投放者可利用漏洞劫持用户的OpenSea账户并窃取用户的加密钱包。

浙江高院：提升NFT纠纷争议解决能力有助于我国抢占未来数字经济领域高地:金色财经报道，浙江省高级人民法院官方微信公众号“浙江天平”发布《浙江审判》2022年第4期文章《NFT的应用价值与法律风险应对》，其中指出NFT在应用过程中存在风险与挑战：（一）NFT的法律属性不明（二）错误确权风险（三）金融管控风险。文章认为，NFT的应用普及可能将如同区块链技术从无到有一般迅速发展，将NFT纳入现有的法治框架，迅速提升涉NFT纠纷的争议解决能力，有助于我国抢占未来数字经济领域的高地，为数字经济发展提供全面的司法服务和保障。[2022/9/5 13:09:02]

P2ENFT游戏Blockchain Brawlers即将推出BRWL MALL:金色财经报道，P2ENFT游戏Blockchain Brawlers将很快推出自己的 \"BRWL MALL”，BRWL MALL是Blockchain Brawlers自己的市场，玩家可以在上面向游戏社区的其他成员购买游戏中的物品。对于在市场上购买的物品，玩家使用游戏中的BRWL代币。玩家可以在游戏内点击出现在库存旁边的标签，进入BRWL商城。

BRWL MALL将分两部分推出。截至目前，玩家可以购买头像和自定义框架，而其他物品如 \"Swag Kits \"将从下个月开始提供。公告中甚至提到，在未来的补丁中也将提供包的定制皮肤。

虽然BRWL MALL中的化妆品不会是NFT，但玩家将能够根据需求铸造自己的NFT。然后，这些NFT可以在二级市场上出售，包括区块链Brawl的'vIRL'市场。[2022/8/1 2:50:19]

用户在查看恶意NFT时可能会看到的确认选择CPR推导出利用漏洞的步骤——黑客创建恶意NFT并将其赠送给目标受害者；受害者查看恶意NFT后，OpenSea的存储域会触发弹出窗口(此类弹窗在该平台的各种活动中很常见)，请求连接到受害者的加密资产钱包上；受害者如果为了获得这些「免费的NFT」与之交互，就要点击「连接钱包」，一旦此操作执行，黑客就获得了访问受害者钱包的权限；利用触发其他弹窗这一方式，黑客就可以不断窃取用户钱包中的资产。由于这些弹窗是从OpenSea的存储域发出的，因此CPR也就锁定了该平台的漏洞源头。如果用户没有注意到描述交易的弹窗中的注释，他们很可能点击弹窗，最终导致整个加密钱包被盗。CPR识别并推导出了漏洞及利用路径，但OpenSea在后续针对此漏洞的声明中称，无法确定任何利用此漏洞的实例。CPR表示，9月26日，他们向OpenSea披露了调查结果，对方响应迅速并共享了包含来自其存储域的iframe对象的svg文件，因此CPR可以一起审查并确保关闭所有攻击媒介。在不到1个小时时间里，OpenSea修复了该漏洞并验证了修复。OpenSea的声明显示，这些攻击依赖于用户通过第三方钱包为恶意交易提供签名来批准恶意活动，修复漏洞后，他们已经与和平台集成的第三方钱包直接协调，以帮助用户更好地识别恶意签名请求，以及帮助用户阻止和网络钓鱼的举措攻击。「我们还围绕安全最佳实践加倍进行社区教育，并启动了一个关于如何在去中心化网络上保持安全的博客系列。我们鼓励新用户和经验丰富的老手阅读该系列。我们的目标是让社区能够检测、减轻和报告区块链生态系统中的攻击，例如CPR所展示的攻击。」别将钱包轻易与陌生网址相连

VSAPartners与RareAirMedia合作，基于XRPL推出迈克尔·乔丹相关NFT系列:4月8日消息，迈克尔·乔丹的视觉自传《FortheLoveoftheGame》的制作人RareAirMedia开始涉足NFT领域。目前，该公司正与VSAPartners（Ripple旗下CreatorFund的主要创意机构合作伙伴）合作，以在XRPL上设计、开发和销售一系列NFT，包括覆盖前NBA球员迈克尔·乔丹的生平和传奇职业生涯的数字资产。第一批NFT预计将于2022年第二季度发布，其中将包括迈克尔·乔丹原始、重要图像的精选，及其个人想法和观察。此前消息，Ripple去年9月宣布创建了一个2.5亿美元的创建者基金，以支持基于XRPLedger的NFT项目。到目前为止，它已收到超4000份申请。[2022/4/8 14:11:59]

这已经不是第一起发生在NFT资产领域的安全事件，受害者也不仅是普通用户，但更集中在普通用户群体中，因为无论是平台还是项目方的的NFT资产被盗，都会影响到普通用户的收益。仅今年3月就发生了两期知名度较高的NFT资产被盗事件。先是3月15日，社交NFT代币平台Roll的热钱包被盗，黑客从中盗取了部分WHALE和SKULL等NFT社交代币，其中部分资金随后被转移到交易混合器Tornado。据分析称，攻击者在此过程中净赚了约570万美元的ETH。受影响的社交代币价格大幅下跌。紧接着的3月17日，NFT交易市场NiftyGateway的数名用户遭遇了账号被盗，有受害者称，黑客从其帐户中窃取了价值数千美元的数字艺术品；其他被黑客入侵的用户称，他们存档的信用卡被用来购买额外的NFT。NiftyGateway后续的声明中提到，遭遇盗号的账户因没有启用双因素认证，而黑客通过有效账号的认证信息获得了访问权限。在非同质化代币NFT越来越多的与收藏品、有价值的加密资产相连时，黑客的罪恶之手正在伸向NFT持有者的钱包，这也再次反映了NFT依托的区块链网络安全性的脆弱。有经验的用户曾总结过NFT的攻击向量，比如，黑客对你的电脑植入木马病文件，盗取你的登录信息和其他资料；或者通过恶意软件记录键盘输入，窃取你的密码；抑或通过恶意软件来获取屏幕截图，从而获得敏感信息；黑客还可能通过劫持DNS，创建钓鱼页面，取用户钱包的助记词。这样看下来，这些攻击手段与黑客攻击互联网时所用的方式并无多大差异，但在互联网应用上，用户已经从自己或别人的经验中获得了一些防御意识，比如，不随便点开陌生链接。但在使用区块链网络和加密钱包时，一些用户变成了「常识归零」的状态，这与用户对加密资产及区块链基础的陌生感有关，也再次说明区块链基建在普及层面的不成熟。普通用户似乎只能从一起起的安全事故中去学习防范技能，普及安全常识也成为加密社区致力做的工作之一。NFT创作者和收藏家JustinOuellette就曾在推特上科普过NFT资产的保护措施，「不要在多个平台上重复使用相同相同的密码；要学会启用双因素认证；要小心那些最小化元蒙版UI的网站；不要透露你的助记词给任何人。」资产被盗还仅仅是NFT安全的一个层面。近期，华中科技大学区块链存储研究中心和HashKeyCapitalResearch对NFT的研究报告显示，NFT系统是由区块链、存储和网络应用集合而成的技术，其安全保障具有一定的挑战性，每一个组成部分都有可能成为安全的短板，致使整个系统受到攻击，仿冒、篡改、抵赖、信息泄露、拒绝服务和权限提升等方面都是NFT系统存在的风险可能。在安全之路上，NFT要走的道路还很远。

Gartner发布的2021年新兴技术炒作周期曲线将NFT置于期望膨胀期:8月28日消息，信息技术研究和分析公司发布的2021年新兴技术炒作周期曲线将NFT置于了期望膨胀期。Gartner每年都会发布25项可能在未来2至10年内对商业和社会带来重大影响的突破性技术，今年新加入的技术包括NFT、数字化人类（利用AI执行类人行为的虚拟形象）、懂物理的人工智能。新兴技术处于期望膨胀期通常意味着泡沫严重，而该曲线中DeFi仍处于技术萌芽期。[2021/8/28 22:43:22]

标签：NFTSEAOPENOpenSeaSeedify NFT SpaceSEAHOpen Proprietary Protocolopensea币单个价格

BNB热门资讯