安卓之家
搜索
  1. 首页
  2. 列表
  3. 科技
  4. 内容详情

明星百万NFT被盗,再牛的加密都架不住社会工程学?

来源:科普中国

4月2日,周杰伦在ins上发文自己的无聊猿被盗,NFT迅速成为国内社交网站的霸屏话题。

图源:周杰伦ins

从去年3月份,艺术家Beeple的NFT画作《Everydays:The First 5000 Days》拍出天价6937万美元,NFT迅速爆红出圈。

今年北京冬奥会期间,冰墩墩NFT数字藏品价格暴涨近千倍,引来无数人的热抢。

NFT的行业热度可谓「史无前例」。打开百度指数,以「NFT」为关键词进行搜索,会发现,最近30天,搜索指数日均值达到12870,资讯指数日均值突破73708,要知道百度指数突破500就是高热度内容。

超高话题的NFT,迅速进入普通大众的视野。

01

NFT 是个啥?

NFT如此火爆,很多网友要问,NFT是个啥?

借这个话题,跟大家唠一唠。

NFT英文全称是Non-Fungible Tokens,中文一般译为“不可同质化代币/不可替代代币”。

图片来源:维基百科

它用于表示数字资产,也就是视频、音频、图片、艺术品、游戏道具等的唯一加密令牌,是属于区块链的一个条目。试想一下,用比特币购买一个NFT,就相当于用人民币购买一幅画,用游戏币购买一个道具,并且还能自带防伪标识,这样是不是好理解了。

当然这样描述也不是非常准确的,NFT并不代表数字产品本身,而是购买者对作品所有权的凭证。我们可以花钱购买一张图片的NFT,这个行为就会上链记录,并且证明我是这张图片的永久拥有者。而且NFT还可以第二次交易、转卖和赠送给别人。

这个概念一经推出,就受到很多明星名人的追捧,比如周董的这个猴子,同系列还有一只蓝毛猴。如果你身边有喜欢篮球的朋友,他很可能用过下面这张头像,这是NBA 球员库里豪掷18万美元所购买的NFT。

库里无聊猿头像,图片来源库里ins

库里花了18万美元买了一张头像,我右键保存,是不是净赚18万美元?好吧,开玩笑呢。

尽管我能复制保存这张图,但这张蓝毛猴子真正的主人是库里。和现实生活中的艺术品一样,每个人都可能拥有梵高画作《花瓶里的十五朵向日葵》1:1复制版、海报,但真正的的原版作品只有一个,只在一个人手里。

NFT这玩意很值钱,周董和库里参与的无聊猿就是全球最火的NFT之一,目前单品全网最低价是108以太币,折合美元35万。而周杰伦被盗的这只无聊猿大概得42万美元。要知道,在去年4月无聊猿项目刚上线时,这些猴子图片单价也才200美元,不到一年时间,价格翻了2000倍左右。

据数据机构Nonfungible统计,2021年NFT交易规模达到140亿美元。预测2022年,海外NFT市场的成交纪录或将达到220亿美元。

02

为什么会被盗?

NFT巨大的增值空间和成长趋势,不仅吸引了海量的散户入局,也引起了黑产团伙的摩拳擦掌。

黑产团伙一般通过两种途径窃取用户信息,一是直接攻击业务体系;二是针对普通用户,使用木马/病毒直接截获用户敏感数据,或是通过钓鱼网站欺骗用户自己交出信息。

比如要盗取周董的 NFT,可以通过直接攻击业务系统来拿他的账号和密码。周董的 NFT 是放在以太坊钱包里,所以要盗取这个猴子 NFT,就得先破解他的以太坊秘钥。

以太坊秘钥,是一串256位的二进制数字。每一位都有2种可能(0或1),要猜对全部256个数字,最多需要暴力尝试2²⁵⁶次

这个数字有多庞大呢?2²⁵⁶=1800亿亿*1800亿亿*1800亿亿*1800亿亿。

如此庞大的数字,就是用超级计算机暴力破解也根本不可能。显然,黑产团队也不可能这么蛮干。

那最容易得手就是第二种途径:通过非IT手段的欺诈,即通过交流来诱导受害者通过安全认证从而侵入到敏感信息。

跟电信诈骗一样,训练有素的诈骗团伙首先通过骗取话术营造紧张感。紧接着伪装一条真实平台的短信链接或网址发送到你的手机,只要你点进去输入账户和密码等其它操作,敏感数据就会完整暴露给诈骗团伙。

图片来源:维基百科

周董就是被引诱进入伪装好的钓鱼网站,输入账号和密码,最后被盗。

而据外媒报道,包括无聊猿在内的多个NFT项目在4月1日被黑客攻击,都是发布钓鱼信息诱导用户泄露数据,但目前不确定有多少用户受害。

媒体调查显示,这次针对多个主流NFT项目的攻击,牵涉两个加密货币钱包地址,而此次钓鱼式攻击窃取的资产,最终流向了一个异常活跃的加密货币钱包地址。该钱包共有1447个以太币(折合约500万美元),600万泰达币(折合约600万美元),以及大量其他加密货币。

周杰伦NFT被盗事件上热搜也证明了,NTF收益很高,加密手段也很高级,可是盗窃成本却是极低的。

03

如何防盗?

真是再牛的加密手段也干不过社会工程学。随着价格猛增,被黑客盗窃风险也越来越大,要想避免损失,只能靠自己加强防范。

第一:对待各色包装的天花乱坠的网站,要仔细甄别,确保打开的网址域名是真的。

第二:鉴于个人Crypto钱包的秘钥和助记词无法修改,以及以太坊地址的匿名性,一旦密钥被泄露,不仅这个钱包不能被使用,你也无法查明黑客到底是谁。不要泄露秘钥和助记词很重要。

第三:如果你的钱包不小心被授权在虚假网站,要及时取消授权。

最重要的要牢记:区块链领域目前不受我国法律保护,一旦被盗,可没人帮你找回。

►►►

审核专家:谈剑峰,信息安全领域的资深专家。

END

蝌蚪五线谱原创文章,转载注明来源

责编/一蓑烟雨走江湖

关键词: 百度指数 敏感数据 黑客攻击

推荐

精彩放送

创投更多》

科技更多》

云计算