原文來源:Odaily 星球日報
原文作者:夫如何
近期,兩起針對 NFT 協議合約的惡意攻擊受到市場關注—— NFT Trader 和 Flooring Protocol 分別於 16 日以及 17 日受到駭客攻擊,Odaily 星球日報對此進行了回顧。
鏈上資訊顯示, 12 月 16 日, 37 枚 BAYC 及 13 枚 MAYC 轉入特定地址,且 NFT Trader 疑似遭攻擊。隨後 NFT 巨鯨 dingaling 發文稱,NFT Trader 的 Batch Swap 合約遭到攻擊。
攻擊訊息很快就得到 NFT Trader 證實。官方稱,駭客針對兩個舊智能合約進行惡意程式碼攻擊,導致 37 枚 BAYC 及 13 枚 MAYC 被盜走,共損失約 400 萬美金。
依照過往經驗,後續的故事情節若不是項目方自認倒霉賠償用戶,要不就是項目方與駭客商量退還被盜資產。而這次的駭客非常有覺悟,直接跨過了與項目方溝通的流程,直接倒賣了盜竊所得 NFT 並留下部分資金作為「賞金」。
一位駭客在鏈上留言稱,表示自己並非本次的攻擊者,並透露最初攻擊者是尾號「bd46」的地址,自嘲自己只是在後面「撿垃圾」。同時駭客也表示,自己只需要 10% 賞金,就可以歸還 NFT,並以每個 BAYC 30 ETH 和 MAYC 6 ETH 計算金額。此後,駭客將一個 BAYC 在 Blur 中出售獲得 35 ETH,並自己留下了 4 ETH,剩餘的 ETH 還給了 NFT 持有者。
聽起來這像是「有良心」駭客的故事—— 賣掉受害者的 NFT,只拿走賞金,剩餘再還給受害者,但這並不能成為為其開脫的理由。
很快,就有用戶提供了一個找回被盜 NFT 的方法。 @0xQuit 發文稱,透過駭客手中 NFT 的地址分析,多個 NFT 地址對 NFT Trader 授權,透過逆向回溯的方式,可以駭客手中的 NFT 再拿回來。
此方法也得到項目方的認可,最後成功追回被盜資產。 ApecoinDAO 所資助的安全公益組織 Boring Security 發文表示,被竊的 36 個 BAYC 及 18 個 MAYC 已找回(部分被竊的已出售),將提供給駭客 給受害者。
至此,NFT Trader 的 NFT 被竊事件暫時畫上了一個句號,受害者損失並不大。就在 NFT Trader 事件結束前幾個小時,另外一個 NFT 協議 Flooring Protocol 也遭遇駭客攻擊。
Delegate 創辦人 foobar 在 X 平台上貼文表示,Flooring Protocol 被偷走了 14 個 BAYC 與 36 個 Pudgy Penguins 。隨後駭客在 Blur 以遠低於地板價的價格開始「甩賣」,BAYC 上架價格為 26.2 ETH, Pudgy Penguins 上架價格為 9.2 ETH,共獲得近 168 萬美元,全部進入駭客口袋。
Flooring Protocol 和 NFT Trader 雖然都是受到了攻擊,但受害者的處境卻天差地別,只能說 NFT Trader 的受害者是幸運的。但短短兩天接連被竊事件,還是應該為大家敲響了警鐘。
慢霧創始人余弦提醒稱:「如果大家在 EVM 鏈有重要資產,檢查與取消重要資產的授權 (尤其是無限授權),沒人可以 100% 肯定再知名的協議不會出安全問題。」
Odaily 星球日報提醒大家,不要輕易點擊任何陌生連結,定期清理錢包授權。
(以上內容獲合作夥伴 MarsBit 授權節錄及轉載,原文連結 | 出處:Odaily 星球日報)
聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
