版權(quán)歸原作者所有,如有侵權(quán),請(qǐng)聯(lián)系我們

明星百萬NFT被盜,再牛的加密都架不住社會(huì)工程學(xué)?

蝌蚪五線譜
專注做權(quán)威、有趣、貼近生活的互聯(lián)網(wǎng)科學(xué)傳播
收藏

4月2日,周杰倫在ins上發(fā)文自己的無聊猿被盜,NFT迅速成為國內(nèi)社交網(wǎng)站的霸屏話題。

圖片

圖源:周杰倫ins

從去年3月份,藝術(shù)家Beeple的NFT畫作《Everydays:The First 5000 Days》拍出天價(jià)6937萬美元,NFT迅速爆紅出圈。

今年北京冬奧會(huì)期間,冰墩墩NFT數(shù)字藏品價(jià)格暴漲近千倍,引來無數(shù)人的熱搶。

NFT的行業(yè)熱度可謂「史無前例」。打開百度指數(shù),以「NFT」為關(guān)鍵詞進(jìn)行搜索,會(huì)發(fā)現(xiàn),最近30天,搜索指數(shù)日均值達(dá)到12870,資訊指數(shù)日均值突破73708,要知道百度指數(shù)突破500就是高熱度內(nèi)容。

超高話題的NFT,迅速進(jìn)入普通大眾的視野。

01

NFT 是個(gè)啥?

NFT如此火爆,很多網(wǎng)友要問,NFT是個(gè)啥?

借這個(gè)話題,跟大家嘮一嘮。

NFT英文全稱是Non-Fungible Tokens,中文一般譯為“不可同質(zhì)化代幣/不可替代代幣”。

圖片

圖片來源:維基百科

它用于表示數(shù)字資產(chǎn),也就是視頻、音頻、圖片、藝術(shù)品、游戲道具等的唯一加密令牌,是屬于區(qū)塊鏈的一個(gè)條目。試想一下,用比特幣購買一個(gè)NFT,就相當(dāng)于用人民幣購買一幅畫,用游戲幣購買一個(gè)道具,并且還能自帶防偽標(biāo)識(shí),這樣是不是好理解了。

當(dāng)然這樣描述也不是非常準(zhǔn)確的,NFT并不代表數(shù)字產(chǎn)品本身,而是購買者對(duì)作品所有權(quán)的憑證。我們可以花錢購買一張圖片的NFT,這個(gè)行為就會(huì)上鏈記錄,并且證明我是這張圖片的永久擁有者。而且NFT還可以第二次交易、轉(zhuǎn)賣和贈(zèng)送給別人。

這個(gè)概念一經(jīng)推出,就受到很多明星名人的追捧,比如周董的這個(gè)猴子,同系列還有一只藍(lán)毛猴。如果你身邊有喜歡籃球的朋友,他很可能用過下面這張頭像,這是NBA 球員庫里豪擲18萬美元所購買的NFT。

圖片

庫里無聊猿頭像,圖片來源庫里ins

庫里花了18萬美元買了一張頭像,我右鍵保存,是不是凈賺18萬美元?好吧,開玩笑呢。

盡管我能復(fù)制保存這張圖,但這張藍(lán)毛猴子真正的主人是庫里。和現(xiàn)實(shí)生活中的藝術(shù)品一樣,每個(gè)人都可能擁有梵高畫作《花瓶里的十五朵向日葵》1:1復(fù)制版、海報(bào),但真正的的原版作品只有一個(gè),只在一個(gè)人手里。

NFT這玩意很值錢,周董和庫里參與的無聊猿就是全球最火的NFT之一,目前單品全網(wǎng)最低價(jià)是108以太幣,折合美元35萬。而周杰倫被盜的這只無聊猿大概得42萬美元。要知道,在去年4月無聊猿項(xiàng)目剛上線時(shí),這些猴子圖片單價(jià)也才200美元,不到一年時(shí)間,價(jià)格翻了2000倍左右。

據(jù)數(shù)據(jù)機(jī)構(gòu)Nonfungible統(tǒng)計(jì),2021年NFT交易規(guī)模達(dá)到140億美元。預(yù)測(cè)2022年,海外NFT市場(chǎng)的成交紀(jì)錄或?qū)⑦_(dá)到220億美元。

02

為什么會(huì)被盜?

NFT巨大的增值空間和成長趨勢(shì),不僅吸引了海量的散戶入局,也引起了黑產(chǎn)團(tuán)伙的摩拳擦掌。

黑產(chǎn)團(tuán)伙一般通過兩種途徑竊取用戶信息,一是直接攻擊業(yè)務(wù)體系;二是針對(duì)普通用戶,使用木馬/病毒直接截獲用戶敏感數(shù)據(jù),或是通過釣魚網(wǎng)站欺騙用戶自己交出信息。

比如要盜取周董的 NFT,可以通過直接攻擊業(yè)務(wù)系統(tǒng)來拿他的賬號(hào)和密碼。周董的 NFT 是放在以太坊錢包里,所以要盜取這個(gè)猴子 NFT,就得先破解他的以太坊秘鑰。

以太坊秘鑰,是一串256位的二進(jìn)制數(shù)字。每一位都有2種可能(0或1),要猜對(duì)全部256個(gè)數(shù)字,最多需要暴力嘗試22??次

這個(gè)數(shù)字有多龐大呢?22??=1800億億*1800億億*1800億億*1800億億。

如此龐大的數(shù)字,就是用超級(jí)計(jì)算機(jī)暴力破解也根本不可能。顯然,黑產(chǎn)團(tuán)隊(duì)也不可能這么蠻干。

那最容易得手就是第二種途徑:通過非IT手段的欺詐,即通過交流來誘導(dǎo)受害者通過安全認(rèn)證從而侵入到敏感信息。

跟電信詐騙一樣,訓(xùn)練有素的詐騙團(tuán)伙首先通過騙取話術(shù)營造緊張感。緊接著偽裝一條真實(shí)平臺(tái)的短信鏈接或網(wǎng)址發(fā)送到你的手機(jī),只要你點(diǎn)進(jìn)去輸入賬戶和密碼等其它操作,敏感數(shù)據(jù)就會(huì)完整暴露給詐騙團(tuán)伙。

圖片

圖片來源:維基百科

周董就是被引誘進(jìn)入偽裝好的釣魚網(wǎng)站,輸入賬號(hào)和密碼,最后被盜。

而據(jù)外媒報(bào)道,包括無聊猿在內(nèi)的多個(gè)NFT項(xiàng)目在4月1日被黑客攻擊,都是發(fā)布釣魚信息誘導(dǎo)用戶泄露數(shù)據(jù),但目前不確定有多少用戶受害。

媒體調(diào)查顯示,這次針對(duì)多個(gè)主流NFT項(xiàng)目的攻擊,牽涉兩個(gè)加密貨幣錢包地址,而此次釣魚式攻擊竊取的資產(chǎn),最終流向了一個(gè)異?;钴S的加密貨幣錢包地址。該錢包共有1447個(gè)以太幣(折合約500萬美元),600萬泰達(dá)幣(折合約600萬美元),以及大量其他加密貨幣。

周杰倫NFT被盜事件上熱搜也證明了,NTF收益很高,加密手段也很高級(jí),可是盜竊成本卻是極低的。

03

如何防盜?

真是再牛的加密手段也干不過社會(huì)工程學(xué)。隨著價(jià)格猛增,被黑客盜竊風(fēng)險(xiǎn)也越來越大,要想避免損失,只能靠自己加強(qiáng)防范。

第一:對(duì)待各色包裝的天花亂墜的網(wǎng)站,要仔細(xì)甄別,確保打開的網(wǎng)址域名是真的。

第二:鑒于個(gè)人Crypto錢包的秘鑰和助記詞無法修改,以及以太坊地址的匿名性,一旦密鑰被泄露,不僅這個(gè)錢包不能被使用,你也無法查明黑客到底是誰。不要泄露秘鑰和助記詞很重要。

第三:如果你的錢包不小心被授權(quán)在虛假網(wǎng)站,要及時(shí)取消授權(quán)。

最重要的要牢記:區(qū)塊鏈領(lǐng)域目前不受我國法律保護(hù),一旦被盜,可沒人幫你找回。

???

審核專家:談劍峰,信息安全領(lǐng)域的資深專家。

END

蝌蚪五線譜原創(chuàng)文章,轉(zhuǎn)載注明來源

責(zé)編/一蓑煙雨走江湖

評(píng)論
科普@書香
貢士級(jí)
區(qū)塊鏈領(lǐng)域目前不受法律保護(hù),如果你的錢包被授權(quán)虛擬網(wǎng)站,要及時(shí)取消,減少損失!
2022-04-17
傳承解惑
大學(xué)士級(jí)
對(duì)待各色包裝的天花亂墜的網(wǎng)站,要仔細(xì)甄別,確保打開的網(wǎng)址域名是真的。
2022-04-17
a白玲a
少傅級(jí)
魔高一尺,道高一丈!做好防護(hù),不給犯罪分子可乘之機(jī)!
2022-04-17