NFT 窃贼如何在数百万(甚至数十亿)美元的抢劫中逍遥法外? 加密交易发生在公共分类账上,因此找到罪魁祸首应该很简单。 尽管如此,NFT 窃贼几乎不可能被抓到。
部分问题来自于领土,因为成功的 NFT 诈骗者和小偷生活在该领域的最前沿。 但除了熟悉这个空间之外,还有更深层次的原因——研究更深层次的故事可以帮助我们所有人更好地保护自己免受未来的冲击。
NFT 盗窃、高雅艺术和“名人受害者”
最昂贵的 NFT 盗窃针对的是知名的 NFT,例如 Bored Ape Yacht Club、Mutant Ape Yacht Club 和 Moonbirds。 这些 NFT 的高价格和受欢迎程度使许多人蒙受巨大损失。
- 艺术画廊老板 Todd Kramer 在 NFT 中损失了大约 220 万美元。
- Cameo 联合创始人 Steven Galanis 在 NFT 和加密货币方面损失了超过 200,000 美元。
- 演员 Seth Green 失去了四个 NFT,并以 269,000 美元的价格买回了一个,以确保在他的新电视节目 White Horse Tavern 中使用它的权利。
被盗 NFT 的名单比这些名人的例子要长得多,但一致的线索是很少有人能找回他们的 NFT。
NFT 窃贼如何逃脱惩罚
抢劫的机制相对简单。 通常情况下,盗窃以网络钓鱼攻击开始,以混合加密货币和提款结束。 这些是小偷可能采取的主要步骤:
- 访问(或控制)受害者的在线加密钱包
- 将 NFT 和加密货币从受害者的钱包转移到自己的钱包
- 低价出售 NFT 确保快速兑换
- 通过加密混合器从小偷的钱包中发送加密货币
- 将混合加密货币提取到第三个钱包中,模糊轨迹(更多内容见下文)
让我们更深入地了解该过程的第一步; 然后我们将深入探讨为什么 Web3 的透明性无助于抓到小偷。
NFT 窃贼如何访问您的加密钱包
受信任的 NFT 市场努力保持高水平的安全性并保护他们的客户免受盗窃。 到目前为止,他们大多能够将黑客拒之门外。 但小偷和黑客已经通过社交媒体、电子邮件和虚假网站成功实施了其他策略。
这些是最常见的 NFT 盗窃策略。 接下来我们将打开它们。
- 通过电子邮件进行的经典网络钓鱼攻击
- 通过社交媒体和论坛进行网络钓鱼攻击
- 冰上网络钓鱼——利用智能合约
- 市场错误和安全漏洞
通过电子邮件进行的经典网络钓鱼攻击
大多数互联网用户都知道网络钓鱼攻击——尤其是通过电子邮件。 他们从一封设计为看起来像是来自银行、邮政服务或其他服务提供商的电子邮件开始。
该消息包含单击链接、完成付款或重置密码的紧急请求。 单击的链接会将您重新路由到一个旨在看起来像真实交易的网站,并诱使您分享您的用户名和密码。 NFT 网络钓鱼攻击的范围从经典的密码更新请求到独家和(当然)限时免费代币提供——称为空投。
假冒网站通常看起来尽可能接近官方市场。 这包括称为域名仿冒的技术,其中 URL 接近目标平台的 URL。 通过这种方式,窃贼增加了通过没有注意到细微错别字的有机流量获得新受害者的机会。 与经典的网络钓鱼攻击一样,这种方法可以保护 NFT 窃贼访问受害者的钱包,然后根据上述方法清空。
通过社交媒体和论坛进行网络钓鱼攻击
虽然对经典网络钓鱼电子邮件撒网很有效,但对于 NFT 窃贼来说,潜在受害者的数量急剧下降。 这就是为什么他们还利用其他渠道进行网络钓鱼攻击。 这可能是名人成为大型 NFT 抢劫目标的原因之一。 在一个案例中,黑客成功地访问了 Bored Ape Yacht Club 的 Discord。 从那里,他们将恶意链接传播给高度参与的 NFT 持有者受众。
在不太引人注目的抢劫中,NFT 窃贼在 Twitter 上冒充钱包软件的支持人员,并向已确定的 NFT 持有者发送直接消息。
NFT 的冰上网络钓鱼
与 Web3 的大多数事情一样,诈骗者采取的可能路线既复杂又新颖。 老练的黑客没有从受害者那里引诱密码,而是建立了智能合约,允许他们清空受害者的钱包。 这让黑客可以避免像 2 因素身份验证这样的安全措施(更多内容见下文)。
在冰钓网络钓鱼攻击中,黑客设置了一个智能合约界面,使其看起来像是来自已知平台。 这可能适用于自动流动性协议,例如在 Uniswap 和 SushiSwap 上运行的协议。 为了使这些工作,用户签署智能合约,让平台代表他们执行交易。 除非受害者非常谨慎和彻底,否则他们很容易忽略来自黑客的智能合约的地址已更改。
甚至在 2021 年底对 DeFi 协议 Badger DAO 进行了冰钓网络钓鱼攻击。通过注入恶意脚本,黑客能够在短短 10 小时内窃取 1.21 亿美元。 该方法在这篇关于 Ice Phishing 攻击的文章中进行了深入描述 微软安全.
市场错误和安全漏洞
NFT 窃贼还利用了用于 NFT 智能合约的协议中的错误和灵活性。 一种类似于冰网络钓鱼的方法是,黑客将智能合约的字段留空,并在受害者签署后填写。
另一种方法旨在利用 OpenSea 传输历史中的错误。 虽然这不是黑客攻击,但它表现出不好的意图。 一些用户已将他们的 NFT 从一个钱包转移到另一个钱包。 根据报道 边缘,用户这样做是为了避免支付验证区块链交易所需的汽油费。
由于这些用户尚未更新其 NFT 的智能合约,因此他们向 OpenSea 上的漏洞敞开了大门。 根据用户界面,交易历史和汽油费都消失了。 但是旧的列表仍然在区块链上活跃,所有人都可以看到。
当这些用户将他们的 NFT 移回旧钱包进行上市时,NFT 会自动以区块链上验证的最后价格上市。
这导致一个恶意的 OpenSea 用户在一天内快速获利约 904,000 美元的 ETH。 他们以旧价格购买流行的 NFT,然后以当前惊人的价格出售。
这重新引发了关于谁对去中心化和无管理的 Web3 中的什么负责的争论。 我们会回到那个。
为什么 Web3 的透明性并没有阻止 NFT 盗窃
无论采用何种方法,Web3 领域的任何小偷都需要一个可靠的退出计划。 由于每笔区块链交易都是公开上市的,因此摆脱 NFT 盗窃需要付出相当大的努力。
出售被盗的 NFT(收藏)并获得加密货币(主要是 ETH)后,NFT 窃贼有几种选择:
- 尽快在交易所以法定货币出售加密货币
- 将 ETH 转移到同谋者的钱包以换取法币
- 隐藏他们的踪迹并等待一段时间
如果 NFT 窃贼成功地将他们的加密战利品交易成法定货币,那么这条线索就会变得更加难以追踪。 从那里,他们可以使用老式的洗钱犯罪方法。 将肮脏的钱投入合法的业务,并将其与干净的钱混合。
但是,Web3 犯罪分子也可以通过利用 Web3 隐私计划来混合加密,使他们的活动看起来很干净。 隐私对于许多早期的 Web3 采用者来说尤其重要,因为众所周知,NFT 窃贼和其他网络犯罪分子会使用这些选项来掩盖他们的踪迹。 这导致了最近对 Blender.io、UniJoin 等加密混合器的争论,尤其是 Tornado Cash。
加密混合器提供智能合约,允许用户在最多 60,000 笔交易的池中存入一定数量的 ETH。 在托管一段时间后,可以使用智能合约中的代币将存入的 ETH 提取到其他钱包。 池化过程几乎不可能跟踪交易。
Tornado Cash 与数量惊人的加密货币洗钱活动有关。 这导致美国财政部禁止国内居民使用 Tornado Cash,并迫使 Tornado Cash 网站关闭。
Tornado Cash 联合创始人 罗曼·谢梅诺夫 也被 GitHub 禁止。 但开源混频器协议仍然可以运行,甚至被密码学教授重新上传到 Github,以测试微软拥有的 GitHub 上的言论自由水平。 因此,监管是否会对加密犯罪分子产生真正的影响,或者只是阻碍日常用户的隐私,还有待观察。
NFT 盗窃如何挑战 Web3 的本质
到目前为止,Web3 的宗旨一直是“代码就是法律”。 当交易在区块链上得到验证时,这是事实。 这是原始点对点加密货币比特币的基础。 正是这种方法使得在没有集中化和监管的情况下构建 Web3 成为可能。
但随着技术背景较少的用户涌入,Web3 可能会受到挑战。 在大多数 NFT 盗窃和“意外折扣”的情况下,NFT 持有者使自己容易受到攻击。
这可能表明 NFT 持有者并没有被自我拘留、问责制和阅读代码作为他们研究的一部分的信念所激励。 随着监管机构和市场试图打击 NFT 盗窃,NFT 社区缺乏适应可能会导致 Web3 的本质发生变化。 迹象已经在这里:
正如我们所知,这可能是 Web3 分支的开始。 我们可能会看到一系列受监管且对用户更友好的举措,以迎合不太懂技术的用户。 不管这听起来对你好不好,让我们考虑一下避免 NFT 盗窃的最佳方法。
避免 NFT 被盗的步骤
大多数 NFT 盗窃案件更有可能是 NFT 持有者自己的行为(或不作为)造成的。 这是如何避免成为那个人的方法。
在纸上备份您的恢复短语
当然,你也可以把它刻在石头上。 但是对您的恢复短语备份进行模拟脱机备份。 永远不要将加密钱包的恢复短语放在网上。 甚至不是您的手写纸备份的照片。 丹麦科技记者 Nikolaj Sonne 在他的云相册被黑客入侵后,他的比特币钱包被清空了。
启用双重身份验证 (2FA)
窃取您的密码是一回事。 但是,保护对您用于第二个身份验证步骤的设备的访问是另一种抢劫。 因此,请使用 Google Authenticator 等 2FA 应用程序或 Google Titan 安全密钥等硬件 2FA 密钥来保护您的 NFT。
将您的 NFT 离线存储在冷钱包中
在线加密钱包被称为热钱包。 由于他们连接到互联网,他们可能会被黑客入侵或与他们背后的公司一起消失。 当您将 NFT 和加密货币转移到离线硬件钱包时,它们就不会被黑客入侵。 流行的冷钱包包括 Trezor、Ledger 和 Ellipal。
使用 Web3 身份验证保护您的社区
随着 NFT 社区的发展,门控内容变得越来越重要。 安全的多层访问对于确保只有合适的人才能访问您的 NFT 周围的内容至关重要。 SlashAuth 很容易从潜在的窃贼手中保护 NFT 所有权的这一方面。
小偷很可能会继续逍遥法外
可悲的事实是,NFT 盗窃可能会在未来一段时间内仍然是一种现象。 一些发展为更高的安全性带来了希望,但社区拒绝它们或小偷克服它们的可能性也很大。 未来我们可能会看到对该领域引入更多监管和治理,但预计这将以牺牲隐私为代价。 对许多人来说,它可能不值这个价。
Verasity 的 NFT 身份验证器等新举措也正在创建中。 这些可能被证明是在用户安全方面向前迈出的一大步,但可能只会迫使小偷寻找新的方法来利用所有者。
归根结底,保护资产归根结底是个人。 我们都需要尽最大努力保护我们自己的东西,这在整个 Web3 中都普遍存在。 您能做的最好的事情就是保持警觉、警觉,并在上面讨论的 Web3 安全措施之上。
编者注: 本文由 羊绒.
