釣魚攻擊/NFT遭黑客攻擊 Monkey Kingdom被竊千萬
Ta Kung Pao
NFT(非同質化代幣)成為全球熱話,全球NFT藝術品的成交總額已超越1億美元大關,但是,有些人對這一新興工具仍未有足夠戒心,未重視當中的安全隱患。近期大熱的Monkey Kingdom NFT項目,早前被黑客透過釣魚攻擊竊取了社區價值130萬美元(約1014萬港元)的虛擬貨幣。過程中黑客通過Discord(專為社群設計的免費網路即時通話軟體與數字發行平台)的安全漏洞進行,由於Monkey Kingdom的NFT是用Solana(SOL)幣進行交易,而Solana上則會有一個驗證用戶的解決方案,黑客透過破壞這個解決方案,接管一個管理賬戶,其後在Monkey Kingdom的Discord上發布網路釣魚鏈接。
釣魚攻擊其實早在90年代中已經開始存在,假冒平台管理員也是常見的手法,透過管理員的身份發布連結,其他用戶點擊後便有機會被竊取個人資料。Monkey Kingdom事件實際上已非第一次有NFT用戶因黑客入侵而蒙受損失。如被形容為加密世界亞馬遜的OpenSea也曾被黑客盜竊NFT資產,去年10月Authentic AI創意總監Jeff Nicholas在OpenSea的Discord討論組,有自稱OpenSea的客服專員與他聯繫,並聲稱可替他解決NFT作品版稅問題,當這位冒稱專員的人提出要遠端共用熒幕排除故障時,Jeff爽快答應了,結果騙子取得遠端共用熒幕控制權後,偷偷打開Jeff電腦的MetaMask賬戶(常用購買NFT的虛擬貨幣錢包),取得同步私鑰的二維碼,騙子同時在另一端掃描二維碼綁定Jeff的賬戶,開始轉移資產。
藏品被盜難以找回
去年底也再有畫廊老闆Todd Kramer的NFT藏品被盜,同樣是透過OpenSea這個平台進行,被盜資產包括了1個Clonex、7個Mutant Ape Yacht Club和8個Bored Ape Yacht Club NFT,價值超過220萬美元,其後OpenSea凍結了這些被盜資產。事實上,Reddit NFT討論區每天都有新被盜NFT案例,NFT收藏家也表示,若擁有的NFT項目被盜,除了要求項目禁止交易,沒有別的方法找回,因只要NFT從錢包轉走,便意味不再屬於你的,這也是去中心化交易的弊端,由於沒有銀行等機構監管,收藏者需要對自己的交易負責。