就在昨晚,周杰伦2013演唱会在线直播的消息在全网刷屏,在这个“以爱为名”的“节日”里打动了无数还算年轻的网友。
如果我们看一下微博热搜数据,仅#周杰伦演唱会重映#这一话题的热度就有4.5亿,牢牢占据了热搜榜一。就公开数据显示,周杰伦的《地表最强》、《魔天伦》两场演唱会预约人数已突破1545万人。
要知道,作为80/90心里的“真天王”,周杰伦上次出专辑已经是6年以前了,而他最近一次被媒体热评,还是他一个月前所发的动态,内容是他的帐户被黑客盗光临了。
4月1日愚人节,周杰伦在社交平台发文表示,自己持有的无聊猿NFT被盗了:“我以为愚人节在跟我开玩笑,结果去查看真的没了……”。
之后该NFT在一个小时内被多次转手,以时价计算,周杰伦被盗的NFT价值超50万美元,折合人民币超300万元。
并且遗憾的是,有律师表示,在法律上这次周杰伦的NFT被盗很难被界定为财产犯罪,因为在如何定性的问题上还没有明确的条款支持,另外在取证以及定价上也有难度。
无独有偶,几天前,美国演员Seth Green的4个NFT被盗,其中包括1个BAYC、2个MAYC和1个Doodle,0xC8a0907开头的钓鱼者地址已将NFT全部售出,获利近160枚ETH,约合33万美元。
这次事件的钓鱼者还将大部分ETH转换为renBTC后跨链到6个BTC地址,约14BTC均通过混币转移以躲避追踪。
还有更多案例不再一一列举,足见NFT并没有想象中的那么安全,甚至盗窃成本也并不高,而收益却十分可观,毕竟像前例的NFT价格动辄数十万美元。
据Nonfungible数据显示,2020年全球NFT销售额为8200万美元,而到了2021年,这一数据激增到170亿美元,增长了超200倍。
事实上,区块链的安全性一直被津津乐道,但现实中却又总会被各种打脸!而这一切也都预示着:未来NFT极易成为不法分子的攻击目标。
那么,到底区块链被攻击的方式都有哪些呢?我们的NFT都有哪种方式被盗取呢?
方式当然是多种多样的,以上两例有一个共同点,那就是都以钓鱼攻击的方式盗取。
比如周杰伦的NFT,据分析是因为Mint付矿工费用时需将钱包权限授予交易平台,而其错误的将权限给了钓鱼网站。
也许有人会说这并不是技术本身的缺陷,但不可否认的是在用户使用过程中确实会出现类似的问题。
另外,年初全球最大的NFT交易平台OpenSea曾遭到黑客攻击。黑客在OpenSea合约升级的时间点给大量用户发送钓鱼邮件,有用户将其当作官方邮件,并进行钱包授权,最终导致被盗。
除了钓鱼外,区块链被攻击的方式还有很多。
在《区块链的十大攻击、漏洞及弱点》的报告中列举了十种类型:交易所黑客攻击、DeFi 黑客攻击、51%攻击、钓鱼、抽地毯/退出骗局、勒索软件、SIM 卡交换攻击、投资骗局、高调倍增骗局、勒索 。
比如51%攻击,“是对工作量证明(Proof Of Work)区块链的一种攻击,即一群控制着网络50%以上的挖矿哈希值的矿工利用这种控制力阻止新的交易被确认,或推翻在控制下完成的交易,导致双花攻击(double-spend attack)。一旦发生这种情况,往往没有任何区块链技术可以阻止这种攻击。51%的攻击导致的最大损失是丧失区块链的信心”。
关于NFT的风险,安妮股份法务部工作人员在接受媒体采访时曾表示:“在技术层面上,NFT以及比特币等虚拟资产被黑客盗取是可以实现的,手段包括钓鱼陷阱、过度包装诈骗、社交媒体诈骗、赠品或空投骗局等。”
那么,我们在日常中要如何防盗呢?
这里要求我们要注意更多的细节,首先是鉴别钓鱼网站。目前我们处在web2.0的网络环境中,所以几乎所有的加密合约都要借助我们都熟悉的网页形式来与我们完成交互,当我们在打开网站时可以留意下域名是否与官方相一致,这能都有效的避免最为常见的钓鱼网站带来的风险。
另外,我们使用的密码要设置更高的安全性,并使用多重验证方式;软件版本和杀毒软件及时更新,收到文件和链接可以用防病毒软件扫描。
私钥和助记词等要妥善保管防止泄漏,钱包的授权状况要及时检查,及时取消有风险的授权等等。
在注意以上问题的同时,我们更应该关注各项政策法规。
比如,中国互联网金融协会等部门发布了《关于防范虚拟货币交易炒作风险的公告》,对金融机构开展与虚拟货币相关的业务进行了限制;中国人民银行等十部门发布了《关于进一步防范和处置虚拟货币交易炒作风险的通知》;中国互联网金融协会、中国银行业协会、中国证券业协会联合发起关于防范NFT相关金融风险的倡议,遏制NFT金融化证券化倾向,从严防范非法金融活动风险。
这些内容也需要关注这一领域的人群了解,从而更好的指导个人行为。
我们的观点
世界上没有任何一项技术是毫无漏洞的,区块链技术同样如此,去中心化、数据难以篡改的特征是其独特的优势,同时也存在诸多问题,而这也留下了多种被攻击的可能性。
特别是当这其中蕴藏了巨大的经济价值时,风险更会接踵而至!