周杰伦百万NFT被盗,再牛的加密都架不住社会工程学?

NFT 英文全称是 Non-Fungible Tokens,中文一般译为“不可同质化代币/不可替代代币”。

4月2日,周杰伦在 ins 上发文自己的无聊猿被盗,NFT迅速成为国内社交网站的霸屏话题。

409734_700x700

图片来源:周杰伦ins

从去年3月份,艺术家Beeple的NFT画作《Everydays:The First 5000 Days》拍出天价6937万美元,NFT迅速爆红出圈。

今年北京冬奥会期间,冰墩墩NFT数字藏品价格暴涨近千倍,引来无数人的热抢。

NFT的行业热度可谓「史无前例」。打开百度指数,以「NFT」为关键词进行搜索,会发现,最近30天,搜索指数日均值达到12870,资讯指数日均值突破73708,要知道百度指数突破500就是高热度内容。

超高话题的NFT,迅速进入普通大众的视野。

NFT 是个啥?

NFT如此火爆,很多网友要问,NFT是个啥?

借这个话题,跟大家唠一唠。

NFT 英文全称是 Non-Fungible Tokens,中文一般译为“不可同质化代币/不可替代代币”。

409735_700x700

图片来源:维基百科

它用于表示数字资产,也就是视频、音频、图片、艺术品、游戏道具等的唯一加密令牌,是属于区块链的一个条目。试想一下,用比特币购买一个 NFT,就相当于用人民币购买一幅画,用游戏币购买一个道具,并且还能自带防伪标识,这样是不是好理解了。

当然这样描述也不是非常准确的,NFT 并不代表数字产品本身,而是购买者对作品所有权的凭证。我们可以花钱购买一张图片的 NFT,这个行为就会上链记录,并且证明我是这张图片的永久拥有者。而且 NFT 还可以第二次交易、转卖和赠送给别人。

这个概念一经推出,就受到很多明星名人的追捧,比如周董的这个猴子,同系列还有一只蓝毛猴。如果你身边有喜欢篮球的朋友,他很可能用过下面这张头像,这是 NBA 球员库里豪掷18 万美元所购买的 NFT。

409736_700x700

库里无聊猿头像,图片来源:库里ins

库里花了 18 万美元买了一张头像,我右键保存,是不是净赚 18 万美元?好吧,开玩笑呢。

尽管我能复制保存这张图,但这张蓝毛猴子真正的主人是库里。和现实生活中的艺术品一样,每个人都可能拥有梵高画作《花瓶里的十五朵向日葵》1:1 复制版、海报,但真正的的原版作品只有一个,只在一个人手里。

NFT这玩意很值钱,周董和库里参与的无聊猿就是全球最火的NFT之一,目前单品全网最低价是108以太币,折合美元35万。而周杰伦被盗的这只无聊猿大概得42万美元。要知道,在去年4月无聊猿项目刚上线时,这些猴子图片单价也才200美元,不到一年时间,价格翻了2000倍左右。

据数据机构 Nonfungible 统计,2021 年 NFT 交易规模达到 140 亿美元。预测2022年,海外NFT市场的成交纪录或将达到220亿美元。

为什么会被盗?

NFT巨大的增值空间和成长趋势,不仅吸引了海量的散户入局,也引起了黑产团伙的摩拳擦掌。

黑产团伙一般通过两种途径窃取用户信息,一是直接攻击业务体系;二是针对普通用户,使用木马/病毒直接截获用户敏感数据,或是通过钓鱼网站欺骗用户自己交出信息。

比如要盗取周董的 NFT,可以通过直接攻击业务系统来拿他的账号和密码。周董的 NFT 是放在以太坊钱包里,所以要盗取这个猴子 NFT,就得先破解他的以太坊密钥。

以太坊秘钥,是一串 256 位的二进制数字。每一位都有 2 种可能(0 或 1),要猜对全部 256 个数字,最多需要暴力尝试 2²⁵⁶ 次

这个数字有多庞大呢?2²⁵⁶ = 1800亿亿*1800亿亿*1800亿亿*1800亿亿。

如此庞大的数字,就是用超级计算机暴力破解也根本不可能。显然,黑产团队也不可能这么蛮干。

那最容易得手就是第二种途径:通过非 IT 手段的欺诈,即通过交流来诱导受害者通过安全认证从而侵入到敏感信息。

跟电信诈骗一样,训练有素的诈骗团伙首先通过话术骗取营造紧张感。紧接着伪装一条真实平台的短信链接或网址发送到你的手机,只要你点进去输入账户和密码等其它操作,敏感数据就会完整暴露给诈骗团伙。

409737_700x700

图片来源:维基百科

周董就是被引诱进入伪装好的钓鱼网站,输入账号和密码,最后被盗。

而据外媒报道,包括无聊猿在内的多个NFT项目在4月1日被黑客攻击,都是发布钓鱼信息诱导用户泄露数据,但目前不确定有多少用户受害。

媒体调查显示,这次针对多个主流 NFT 项目的攻击,牵涉两个加密货币钱包地址,而此次钓鱼式攻击窃取的资产,最终流向了一个异常活跃的加密货币钱包地址。该钱包共有 1447 个以太币(折合约 500 万美元),600 万泰达币(折合约 600 万美元),以及大量其他加密货币。

周杰伦NFT被盗事件上热搜也证明了,NTF 收益很高,加密手段也很高级,可是盗窃成本却是极低的。

如何防盗?

真是再牛的加密手段也干不过社会工程学。随着价格猛增,被黑客盗窃风险也越来越大,要想避免损失,只能靠自己加强防范。第一:对待各色包装的天花乱坠的网站,要仔细甄别,确保打开的网址域名是真的。

第二:鉴于个人Crypto钱包的密钥和助记词无法修改,以及以太坊地址的匿名性,一旦密匙被泄露,不仅这个钱包不能被使用,你也无法查明黑客到底是谁。不要泄露密钥和助记词很重要。

第三:如果你的钱包不小心被授权在虚假网站,要及时取消授权。

最重要的要牢记:区块链领域目前不受我国法律保护,一旦被盗,可没人帮你找回。

审核专家:谈剑峰,信息安全领域的资深专家。