黑客虎视眈眈,资产频繁被盗,警惕NFT安全风险

图片
6美元的合同,栓不牢上百万的NFT

链新(ID:ChinaBlockchainNews)原创
作者 | 廖羽

“警报!警报!警报!”,一只手机躺在床头柜上,吱哇乱叫。
Michael J(以下简称MJ)熟睡中被惊醒,拿起手机一看,来自加密艺术平台Nifty Gateway出售商品警报、各个信用卡商的欺诈警报,充斥着他的手机界面。
“坏了!”MJ瞬间清醒,一下子坐起身来,火速打开Nifty Gateway准备转移资产,可惜为时已晚,他所有的NFT收藏品全被清空,黑客甚至还用MJ的数字钱包购买了价值1万美元的新NFT,一并转走了。
几分钟时间,MJ价值数十万美元的NFT藏品化为乌有,再也找不回来了。
Nifty Gateway是一家注册在美国的加密艺术品交易平台。
有人说,这种情况不能找Nifty Gateway维权吗?NFT数字作品不是锚定产权人,不可更改吗?难道没有办法吗?MJ也这么想,找到Nifty Gateway。
“由于记录了包括转账在内的所有交易,因此我知道我被盗的NFT发送到的2个具体帐户以及购买人信息。”MJ将此提供给Nifty Gateway,此时黑客在Discord频道上寻找买家。
对此,Nifty Gateway发表声明说,正在对MJ事件进行分析。“初步评估表明此事件影响有限,未受影响的帐户都启用了2FA(Two-factor-authentication双元验证法),并且可以通过有效的帐户凭据获得访问权限。”
在境外NFT炒作浪潮里,除了价格泡沫外,参与者还会面临资产安全风险。
事实证明,随着NFT大热,资本快速涌入,网络罪犯也在将他们的注意力转向NFT领域。近几个月来,NFT市场蓬勃发展,数字艺术品资产被盗事件也发生的越来越频繁。
强大的元宇宙难道无法保护一张数字图片吗?为此,《链新》采访了多位一线技术人员,试图分析出NFT数字资产被盗一事背后的底层技术逻辑、隐藏问题、行业看法以及可防范措施。

NFT被盗事件频发

2021年4月,黑客珀森从佳士得的网站上下载并伪造了Beeple的《每一天:第一个5000天》文件,然后通过Beeple钱包铸造了另一个铸币,在一个NFT平台上挂牌出售。
做完这一切,珀森在自己的网站NFTheft上,发表了一篇题为《我为什么这么做》的文章,直言:“才华横溢、经验丰富的创作者无法为他们的作品提供任何必要的保障。”,“没有任何权利或保护措施来防止他们的艺术品被盗或被误用。”
这是黑客珀森的一场行为艺术,但他说的话却比他的行为更吸引人。
业内人士告诉《链新》,一个典型的NFT常分成两个独立的部分,存储在链上的智能合约或ERC-721标准规范,以及数字艺术品本身。目前,访问艺术品的主要模式是使用URL(网络地址),而非数字作品直接上链。
从事数字艺术品的经营的凯拉尼·尼科尔(Kelani Nichole)曾公开表示对ERC-721的质疑,称这种模式是危险的,其直言 “如果哪天NFT平台的服务器宕机了,或者他们的IPFS(分布式文件存储系统,一种常见的防护措施)节点宕机了,你花很多钱买的内容将无法访问”。 
事实上,即便是用户采用了IPFS进行维护,还有不少因素同样会导致URL被破坏,以至于类似Checkmynft.com(用户可以插入合同地址和令牌ID检查URL状态检验)等平台应运而生。
而就在今年3月,Checkmynft发现,已经使用过IPFS存储的Grimes、DeadMau5和Steve Aoki等用户的NFT出现无法加载的情况,最终文件外流。虽然文件外流没有对市场造成太大影响,却也加重了人们对NFT的储存方式的担忧。
既然如此,为什么不直接选择,简单直接的数字艺术品直接上链呢?
艾贝链动 CEO 叶新告诉《链新》记者:“NFT选择基于智能合约URL指向的形式存在,还是作为独立的作品直接上链,本质上是成本问题。”
艾贝链动是一家区块链领域安全产品与技术服务公司,业务集中在数字身份、数字资产凭证、资产追踪服务等方面。
简单计算两种储存方式的成本,目前来说,以太坊的存储成本是256bit=32字节=20 K gas,假设当前gasPrice是100 gwei,ETH价格为3000美元,那20K gas成本就为6美元。
普遍URL都在64字节以内,所以一个URL在以太坊网络正常情况下的存储成本大约是12美元左右,通常NFT合约只存了一份URL前缀并使用不同的id拼接出完整的URL。
但如果是独立上链的话,以Cryptopunk为例,一张图大概需要3000字节,也就是2000 K gas,约600美元,其成本将会是普通URL上链成本的50倍,1万张图就是600万美元。
倘若再遇到以太坊网络拥堵,独立上链的gasPrice成本将超出想象。
所以说,从成本上考虑,URL是目前虽然有漏洞却是最具性价比的选择。
那么,黑客们究竟是如何一步步从潜在的技术漏洞,到真正窃取他人的NFT资产的呢?

穿过你的账号的黑手

据链圈专业人士介绍,尽管区块链账户号称是不可变的,但智能合约比许多人想象的更容易被窃取和伪造。而且,由于NFT交易可能会带来丰厚的利润,黑客就有了进一步攻击的动机。
叶新告诉《链新》,近年来NFT 市场频发资产被盗事件主要原因是NFT资产的价值及流通性大幅提升。事实上,个人钱包被盗事件一直很多,只是过去谈的是加密货币,现在谈的是NFT,黑客们自然会在掌握受害者私钥后将 NFT 转走套现。
这却是一件吊诡的事:NFT是一种防篡改的电子账本,对原始数字艺术进行认证和定义,还可以向艺术家提供永久的交易分成;人们基于相信制作NFT的区块链技术会带来切实好处而引发2021年上半年的“NFT抢购潮”和逐渐走高的价格;而这个价值24亿美元的新兴行业所使用的技术基础却很差,无法实现它所给出的承诺,短时间内还无法找到根治之策。
既然如此,或许尝试了解黑客们盗走NFT的方式,能在某种程度上减少一些受害者。
据《链新》了解,用户NFT数字资产被盗就是因为所属钱包私钥遭到了泄露或用户在不知情的情况下授权了非法转账交易行为。而要做到这一点,离不开用户的“配合”,简单来说,即用户在不知情的情况下进行了授权,可能有以下三种情况: 
1.用户没能保管好私钥,比如将私钥信息储存在邮箱等云存储上,或是误发到通信软件或是误贴到钓鱼网站等,也就是所谓的“私钥触网”。例如在缺乏 2FA (双因素验证)的情况下,黑客可以暴破邮箱弱口令将私钥截获;
2、用户错误授权,黑客可利用搭建虚假网站、虚假钱包或者构建虚假项目骗取用户授权,进而利用智能合约中 approve/transferFrom 的特性在用户没有感知的情况下盗取资产。在 NFT 的场景,由于资产可能带有图片或视频,还存在一个有别于币的攻击面,黑客可能通过交易网站的漏洞由恶意图片触发看似合法的授权弹窗,诱骗用户点击;
3、私钥存储设备被入侵,这是更进阶的一种盗取私钥的方式。任何联网的设备都可能通过钓鱼邮件,word 文件等方式被黑客安装木马,假设用户以明文方式存储私钥或者加密口令过于简单,黑客都可能远程盗取私钥,因此储存私钥的设备需要即时更新安全补丁及安装防毒软件定期扫描,用冷钱包操作私钥是更安全的做法。
要杜绝此类事件发生,除了要知道黑客们惯用手段、提高日常警惕之外,不同平台之间权责明晰也非常必要,可NFT正处于萌发阶段,现有制度和人们的共识还未完善,需要时间搭建完整体系。
不过在叶新看来,对于个别用户因私钥被盗或被钓鱼造成的 NFT 盗窃事件,目前来看责任主要在于用户自己。这是加密市场去中心化市场的主要特性。
而钱包方、交易平台、拍卖平台有义务在产品使用过程中层层设防,在自身安全保障过硬的基础上,还应做好用户安全意识教育,钓鱼诈骗陷阱普及等认知教育工作。

亡羊补牢,万物向新

体系不够健全,行业自当努力,NFT的存储方式有问题需要解决,不少区块链创业公司都希望能在这里裨补阙漏、贡献力量。
比如,区块链服务和安全公司RubiX的CEO和创始人尼廷·帕拉瓦利(Nithin Palavalli),它们认为目前的存储选择还不够,于是发明了一种新的机制——通过该模型在区块链上验证交易,允许用户在链上存储大量数据,帮助资产防护黑客攻击。
而对于那些看重NFT中文件的用户来说,文件的丢失可能会令人崩溃。
对此,RubiX与艺术家合作,使用生物识别技术访问创建了一种安全性更高的文件,还与微软智能安全协会(Microsoft Intelligent security Association)合作,开发了几个分散的安全协议,作为区块链安全产品的一部分,这些解决方案或许会令NFT市场更好地运转。
另外,知识产权律师杰夫·格鲁克(Jeff Gluck)一直关心着与艺术家们权利息息相关的智能合约。他表示,由于没有铸造的集中标准,艺术家最终会被骗去转售分成,于是他创立了提供智能合约的CXIP实验室,可以对任何平台协议进行转译。
储存选择、文件流失、智能合约,似乎一切正如叶新所言,漏洞是暂时的,需要在行业进步过程中一点点规避的。就像早期的 DeFi 协议也存在大量攻击事件,但随着项目开发者普遍安全意识提升,攻击事件就逐步降低,NFT市场也会经历这么一个过程。

本文来自链新,本文观点不代表格时财经立场,转载请联系原作者;如有侵权,请联系编辑删除。

免责声明:作为区块链信息平台,本站所提供的资讯信息不代表任何投资暗示。鉴于中国尚未出台数字资产相关政策及法规,请中国大陆用户谨慎进行数字货币投资。

分享本页
返回顶部