明星百萬(wàn)NFT被盜，再牛的加密都架不住社會(huì)工程學(xué)？

4月2日，周杰倫在ins上發(fā)文自己的無(wú)聊猿被盜，NFT迅速成為國(guó)內(nèi)社交網(wǎng)站的霸屏話題。

圖源：周杰倫ins

從去年3月份，藝術(shù)家Beeple的NFT畫(huà)作《Everydays：The First 5000 Days》拍出天價(jià)6937萬(wàn)美元，NFT迅速爆紅出圈。

今年北京冬奧會(huì)期間，冰墩墩NFT數(shù)字藏品價(jià)格暴漲近千倍，引來(lái)無(wú)數(shù)人的熱搶。

NFT的行業(yè)熱度可謂「史無(wú)前例」。打開(kāi)百度指數(shù)，以「NFT」為關(guān)鍵詞進(jìn)行搜索，會(huì)發(fā)現(xiàn)，最近30天，搜索指數(shù)日均值達(dá)到12870，資訊指數(shù)日均值突破73708，要知道百度指數(shù)突破500就是高熱度內(nèi)容。

超高話題的NFT，迅速進(jìn)入普通大眾的視野。

01

NFT 是個(gè)啥？

NFT如此火爆，很多網(wǎng)友要問(wèn)，NFT是個(gè)啥？

借這個(gè)話題，跟大家嘮一嘮。

NFT英文全稱(chēng)是Non-Fungible Tokens，中文一般譯為“不可同質(zhì)化代幣/不可替代代幣”。

圖片來(lái)源：維基百科

它用于表示數(shù)字資產(chǎn)，也就是視頻、音頻、圖片、藝術(shù)品、游戲道具等的唯一加密令牌，是屬于區(qū)塊鏈的一個(gè)條目。試想一下，用比特幣購(gòu)買(mǎi)一個(gè)NFT，就相當(dāng)于用人民幣購(gòu)買(mǎi)一幅畫(huà)，用游戲幣購(gòu)買(mǎi)一個(gè)道具，并且還能自帶防偽標(biāo)識(shí)，這樣是不是好理解了。

當(dāng)然這樣描述也不是非常準(zhǔn)確的，NFT并不代表數(shù)字產(chǎn)品本身，而是購(gòu)買(mǎi)者對(duì)作品所有權(quán)的憑證。我們可以花錢(qián)購(gòu)買(mǎi)一張圖片的NFT，這個(gè)行為就會(huì)上鏈記錄，并且證明我是這張圖片的永久擁有者。而且NFT還可以第二次交易、轉(zhuǎn)賣(mài)和贈(zèng)送給別人。

這個(gè)概念一經(jīng)推出，就受到很多明星名人的追捧，比如周董的這個(gè)猴子，同系列還有一只藍(lán)毛猴。如果你身邊有喜歡籃球的朋友，他很可能用過(guò)下面這張頭像，這是NBA 球員庫(kù)里豪擲18萬(wàn)美元所購(gòu)買(mǎi)的NFT。

庫(kù)里無(wú)聊猿頭像，圖片來(lái)源庫(kù)里ins

庫(kù)里花了18萬(wàn)美元買(mǎi)了一張頭像，我右鍵保存，是不是凈賺18萬(wàn)美元？好吧，開(kāi)玩笑呢。

盡管我能復(fù)制保存這張圖，但這張藍(lán)毛猴子真正的主人是庫(kù)里。和現(xiàn)實(shí)生活中的藝術(shù)品一樣，每個(gè)人都可能擁有梵高畫(huà)作《花瓶里的十五朵向日葵》1:1復(fù)制版、海報(bào)，但真正的的原版作品只有一個(gè)，只在一個(gè)人手里。

NFT這玩意很值錢(qián)，周董和庫(kù)里參與的無(wú)聊猿就是全球最火的NFT之一，目前單品全網(wǎng)最低價(jià)是108以太幣，折合美元35萬(wàn)。而周杰倫被盜的這只無(wú)聊猿大概得42萬(wàn)美元。要知道，在去年4月無(wú)聊猿項(xiàng)目剛上線時(shí)，這些猴子圖片單價(jià)也才200美元，不到一年時(shí)間，價(jià)格翻了2000倍左右。

據(jù)數(shù)據(jù)機(jī)構(gòu)Nonfungible統(tǒng)計(jì)，2021年NFT交易規(guī)模達(dá)到140億美元。預(yù)測(cè)2022年，海外NFT市場(chǎng)的成交紀(jì)錄或?qū)⑦_(dá)到220億美元。

02

為什么會(huì)被盜？

NFT巨大的增值空間和成長(zhǎng)趨勢(shì)，不僅吸引了海量的散戶(hù)入局，也引起了黑產(chǎn)團(tuán)伙的摩拳擦掌。

黑產(chǎn)團(tuán)伙一般通過(guò)兩種途徑竊取用戶(hù)信息，一是直接攻擊業(yè)務(wù)體系；二是針對(duì)普通用戶(hù)，使用木馬/病毒直接截獲用戶(hù)敏感數(shù)據(jù)，或是通過(guò)釣魚(yú)網(wǎng)站欺騙用戶(hù)自己交出信息。

比如要盜取周董的 NFT，可以通過(guò)直接攻擊業(yè)務(wù)系統(tǒng)來(lái)拿他的賬號(hào)和密碼。周董的 NFT 是放在以太坊錢(qián)包里，所以要盜取這個(gè)猴子 NFT，就得先破解他的以太坊秘鑰。

以太坊秘鑰，是一串256位的二進(jìn)制數(shù)字。每一位都有2種可能（0或1），要猜對(duì)全部256個(gè)數(shù)字，最多需要暴力嘗試22??次

這個(gè)數(shù)字有多龐大呢？22??＝1800億億*1800億億*1800億億*1800億億。

如此龐大的數(shù)字，就是用超級(jí)計(jì)算機(jī)暴力破解也根本不可能。顯然，黑產(chǎn)團(tuán)隊(duì)也不可能這么蠻干。

那最容易得手就是第二種途徑：通過(guò)非IT手段的欺詐，即通過(guò)交流來(lái)誘導(dǎo)受害者通過(guò)安全認(rèn)證從而侵入到敏感信息。

跟電信詐騙一樣，訓(xùn)練有素的詐騙團(tuán)伙首先通過(guò)騙取話術(shù)營(yíng)造緊張感。緊接著偽裝一條真實(shí)平臺(tái)的短信鏈接或網(wǎng)址發(fā)送到你的手機(jī)，只要你點(diǎn)進(jìn)去輸入賬戶(hù)和密碼等其它操作，敏感數(shù)據(jù)就會(huì)完整暴露給詐騙團(tuán)伙。

圖片來(lái)源：維基百科

周董就是被引誘進(jìn)入偽裝好的釣魚(yú)網(wǎng)站，輸入賬號(hào)和密碼，最后被盜。

而據(jù)外媒報(bào)道，包括無(wú)聊猿在內(nèi)的多個(gè)NFT項(xiàng)目在4月1日被黑客攻擊，都是發(fā)布釣魚(yú)信息誘導(dǎo)用戶(hù)泄露數(shù)據(jù)，但目前不確定有多少用戶(hù)受害。

媒體調(diào)查顯示，這次針對(duì)多個(gè)主流NFT項(xiàng)目的攻擊，牽涉兩個(gè)加密貨幣錢(qián)包地址，而此次釣魚(yú)式攻擊竊取的資產(chǎn)，最終流向了一個(gè)異?；钴S的加密貨幣錢(qián)包地址。該錢(qián)包共有1447個(gè)以太幣（折合約500萬(wàn)美元），600萬(wàn)泰達(dá)幣（折合約600萬(wàn)美元），以及大量其他加密貨幣。

周杰倫NFT被盜事件上熱搜也證明了，NTF收益很高，加密手段也很高級(jí)，可是盜竊成本卻是極低的。

03

如何防盜？

真是再牛的加密手段也干不過(guò)社會(huì)工程學(xué)。隨著價(jià)格猛增，被黑客盜竊風(fēng)險(xiǎn)也越來(lái)越大，要想避免損失，只能靠自己加強(qiáng)防范。

第一：對(duì)待各色包裝的天花亂墜的網(wǎng)站，要仔細(xì)甄別，確保打開(kāi)的網(wǎng)址域名是真的。

第二：鑒于個(gè)人Crypto錢(qián)包的秘鑰和助記詞無(wú)法修改，以及以太坊地址的匿名性，一旦密鑰被泄露，不僅這個(gè)錢(qián)包不能被使用，你也無(wú)法查明黑客到底是誰(shuí)。不要泄露秘鑰和助記詞很重要。

第三：如果你的錢(qián)包不小心被授權(quán)在虛假網(wǎng)站，要及時(shí)取消授權(quán)。

最重要的要牢記：區(qū)塊鏈領(lǐng)域目前不受我國(guó)法律保護(hù)，一旦被盜，可沒(méi)人幫你找回。

???

審核專(zhuān)家：談劍峰，信息安全領(lǐng)域的資深專(zhuān)家。

END

蝌蚪五線譜原創(chuàng)文章，轉(zhuǎn)載注明來(lái)源

責(zé)編/一蓑煙雨走江湖