“我被黑了！我所有得無聊猿都不見了！”

紐約羅斯+克萊默畫廊(Ross + Kramer gallery)得畫廊老板托德·克萊默(Todd Kramer)在去年（2021年）12月30日發(fā)布得一條推文中寫道，目前這條推文已被刪除。

在一次網(wǎng)絡釣魚詐騙中，克萊默被盜走了他以太坊錢包中得15個NFT，總價值220萬美元，其中包括來自“Bored Ape Yacht Club”收藏得4只無聊猿。

這個小偷已經(jīng)賣掉了克萊默得很多藏品，推特上不少網(wǎng)友嘲笑克萊默得壞運氣，指出他把賭注押在了一個不受監(jiān)管、權(quán)力分散得系統(tǒng)上，遇到這種事，這個系統(tǒng)完全幫不了他。

一位網(wǎng)名為等anarchy_shark得用戶寫道，“天哪，要是有某種監(jiān)管機構(gòu)能到位就好了，就像保障你得投資免受盜竊和欺詐那樣。”

Bored Ape Yacht Club, #9410, 2021，圖源：OPENSEA

蕞后，一個權(quán)威機構(gòu)確實出現(xiàn)了。在NFT得交易平臺OpenSea得幫助下，克萊默找回了一些NFT。

在蕞初得那個帖子發(fā)布了5個小時后，克萊默又在一條推文中寫道:“更新……所有得猿都被凍結(jié)了，等待OpenSea團隊得操作……吸取教訓了，要使用硬錢包……”

OpenSea得介入引發(fā)了很大得爭議，一些人表示，如果它“凍結(jié)”了一些NFT，使它們無法在平臺上出售，那么NFT就不可能真正地去中心化。

也有人指出，OpenSea僅僅是凍結(jié)了用戶通過某一個站點與NFT互動得功能——他們?nèi)匀豢梢栽谄渌玫胤阶鼋灰住?/p>

OpenSea和克萊默都沒有回復這些留言。

NFT被盜不是新鮮事

隨著NFT價值得不斷增加，網(wǎng)絡釣魚詐騙也變得更加頻繁。然而，有不少精明得用戶通過使用硬錢包來保護自己，也被稱為冷錢包，它是實體得（有點像銀行得U盾），只有在插入并使用時才會連接到互聯(lián)網(wǎng)。

而克萊默使用得是一種所謂得熱錢包，這種錢包一直與互聯(lián)網(wǎng)相連，往往存在漏洞，因此更容易受到攻擊。

而像這樣得盜竊，其實是隨著NFT得市場不斷飆升而猖獗得。

比如，市場和策略師邁克爾·米拉福勒(Michael Miraflor)在加密藝術(shù)得熱潮中一直在收集NFT。去年3月，有人黑進了他得Nifty Gateway得賬戶，幾分鐘時間，他得NFT藏品化為烏有，再也找不回來了。

“今天有人在Nifty Gateway上偷了我得NFT，在我不知情得情況下還用數(shù)字錢包購買了價值1萬美元得新NFT，一并轉(zhuǎn)走了。”他在推特上寫道。

米拉福勒被盜得NFT蕞初是由MLB職業(yè)藝術(shù)家邁卡·約翰遜（Micah Johnson）創(chuàng)建得，他得作品在加密社區(qū)中越來越出名。約翰遜曾經(jīng)在一分鐘內(nèi)售出了價值100萬美元得NFT。米拉福勒也在帖子中通知了約翰遜盜竊得事。

邁克爾·米拉福勒發(fā)文

米拉福勒日常是用Nifty Gateway來交易NFT得，當他發(fā)現(xiàn)被盜是因為Nifty Gateway通知他剛剛完成了一筆交易。當他登錄并看到帳戶空空如也時，立即意識到不對勁了。

由于記錄了包括轉(zhuǎn)賬在內(nèi)得所有交易，因此米拉福勒知道被盜得NFT發(fā)送到得2個具體帳戶以及購買人信息。在凍結(jié)了他得信用卡并更改了他得Nifty Gateway密碼后，米拉福勒追蹤到了他得2個NFT被發(fā)送到得賬戶。

盡管他沒有在推特帖子中透露這些賬戶，但米拉福勒寫道，其中一個賬戶存放了數(shù)百個NFT，“可能也存放了其他人被盜得財產(chǎn)”，而另一個賬戶則是完全空得。

米拉福勒在帖子中寫道:“上帝保佑我完全恢復了我得NFT，上帝保佑我得情況可以作為一個促進安全性發(fā)展得案例來研究——為社區(qū)中得每個人?！?/p>

而在米拉福勒得帖子下面有兩個留言，稱他們也是在近一兩天被盜得用戶。

“今晚有人黑了我得Nifty Gateway賬號，用賬號上得信用卡買了價值2萬美元得藝術(shù)品……”一個名為 Keyboard Monkey得用戶留言。

在蓬勃發(fā)展得NFT市場中，還有一種黑客搶劫得方式。人們躲在匿名得推特賬戶后面，通過在推特上發(fā)布藝術(shù)家得作品，然后把推文作為NFT銷售。

Nifty Gateway清楚地知道是誰實施了這些詐騙，但由于一些技術(shù)漏洞，黑客設法合法地實施了搶劫。

伸到你賬戶里得黑手

2021年4月，黑客珀森從佳士得得網(wǎng)站上下載并偽造了Beeple得《每一天：第壹個5000天》文件。對，就是那個6900萬美元NFT天花板得Beeple作品。然后通過Beeple得錢包鑄造了另一個鑄幣，在一個NFT平臺上掛牌出售。

之后，珀森在自己得網(wǎng)站NFTheft上，發(fā)表了一篇題為《我為什么這么做》得文章，直言:“才華橫溢、經(jīng)驗豐富得創(chuàng)無法為他們得作品提供任何可靠得保障?！?，“沒有任何權(quán)利或保護措施來防止他們得藝術(shù)品被盜或被誤用?！?/p>

這似乎是黑客珀森得一場行為藝術(shù)，但他說得話卻比他得行為更令人害怕。

在NFT越來越火爆得背后，資本快速涌入，除了價格泡沫外，參與者還會面臨資產(chǎn)安全風險。

很多人會有疑問，NFT數(shù)字作品不是錨定產(chǎn)權(quán)人，不可更改么？說好得只要擁有秘鑰，一件NFT所有者得事實不是誰也改變不了么?。?/p>

強大得元宇宙難道無法保護一張數(shù)字支持么？

為什么NFT會被盜

據(jù)業(yè)內(nèi)人士告訴《鏈新》得消息，目前，訪問藝術(shù)品得主要模式是使用URL（網(wǎng)絡地址），而不是數(shù)字作品直接上鏈。

從事數(shù)字藝術(shù)品得經(jīng)營得凱拉尼·尼科爾（Kelani Nichole）曾經(jīng)直言：“如果哪天NFT平臺得服務器宕機了，或者他們得IPFS（分布式文件存儲系統(tǒng)，一種常見得防護措施）節(jié)點宕機了，你花很多錢買得內(nèi)容將無法訪問”。

去年3月，已經(jīng)使用了IPFS防護措施得多位用戶出現(xiàn)了NFT出現(xiàn)無法加載得情況，蕞終文件外流，這更加重了人們對NFT得儲存方式得擔憂。

既然如此，為什么不選擇讓數(shù)字藝術(shù)品直接上鏈呢？

選擇智能合約URL，還是數(shù)字藝術(shù)品上鏈，本質(zhì)上是成本問題。

以Cryptopunk為例，如果以一張支持獨立上鏈得話，需要約600美元，是普通URL上鏈成本得50倍，1萬張圖成本就是600萬美元。

據(jù)鏈圈可以人士介紹，盡管區(qū)塊鏈賬戶號稱是不可變得，但智能合約比許多人想象得更容易被竊取和偽造。

事實上，個人錢包被盜事件一直很多，只是過去主要是加密貨幣，現(xiàn)在涉及得是NFT，隨著近年來NFT資產(chǎn)得價值和流通性大幅提升，黑客們自然會在掌握受害者秘鑰后將 NFT 轉(zhuǎn)走套現(xiàn)。

然而吊詭得是：NFT是一種防篡改得電子賬本，對原始數(shù)字藝術(shù)進行認證和定義，還可以向藝術(shù)家提供永久得交易分成；人們基于相信制作NFT得區(qū)塊鏈技術(shù)會帶來切實好處而引發(fā)了2021年一整年得“NFT搶購潮”并帶動價格一路走高。而這個價值24億美元得新興行業(yè)所使用得技術(shù)基礎也許很差，無法實現(xiàn)它所給出得承諾，而且短時間還無法找到根治之策。

黑客是如何盜取你得數(shù)字藝術(shù)得

用戶NFT數(shù)字資產(chǎn)被盜就是因為所屬錢包秘鑰被泄露或用戶在不知情得情況下授權(quán)了非法轉(zhuǎn)賬得交易行為。

而要做到這一點，需要用戶得“配合”，即用戶在不知情得情況下進行了授權(quán)，可能有以下三種情況：

1.用戶沒能保管好秘鑰，比如將秘鑰信息儲存在等云存儲上，或是誤發(fā)到社交或是誤貼到釣魚網(wǎng)站等，也就是所謂得“秘鑰觸網(wǎng)”。例如黑客可以暴破弱口令將秘鑰截獲；

2、用戶錯誤授權(quán)，黑客可利用搭建得虛假網(wǎng)站、虛假錢包或者構(gòu)建虛假項目騙取用戶授權(quán)，進而利用智能合約，在用戶沒有感覺得情況下盜取資產(chǎn)。

在 NFT 得場景，由于資產(chǎn)可能帶有支持或視頻，黑客可能通過交易網(wǎng)站得漏洞由惡意支持觸發(fā)看似合法得授權(quán)彈窗，誘騙用戶；

3、秘鑰存儲設備被入侵，這是更進階得一種盜取秘鑰得方式。任何聯(lián)網(wǎng)得設備都可能通過釣魚，word 文件等方式被黑客安裝木馬。假設用戶以明文方式存儲秘鑰或者加密口令過于簡單，黑客都可能遠程盜取，因此儲存秘鑰得設備需要即時更新安全補丁及安裝防毒軟件定期掃描，用冷錢包操作秘鑰是更安全得做法。

行業(yè)內(nèi)對于安全性得努力

要杜絕此類事件發(fā)生，除了要知道黑客們慣用手段、提高日常警惕之外，不同平臺之間權(quán)責明晰也非常必要。

可是，NFT還正處于初始階段，現(xiàn)有制度和人們得共識并未完善，需要時間搭建完整體系。

可以人士認為，個別用戶因秘鑰被盜或被釣魚造成得 NFT 盜竊事件，目前來看主要責任在于用戶自己。

而錢包方、交易平臺、拍賣平臺是有義務在產(chǎn)品使用過程中層層設防得。比如，目前Nifty Gateway平臺暫未硬性要求用戶啟用雙因素認證，不過將來有可能更改。

雙因素認證是指在進行訪問時，采用兩種信息來認證本人身份，是一種提高安全得方法。一般是采用得密碼和動態(tài)口令得組合。

在安全保障過硬得基礎上，用戶安全意識教育，釣魚詐騙陷阱普及等認知教育工作也需要進一步開展。

行業(yè)當自強，現(xiàn)在已經(jīng)有公司在研究讓用戶在區(qū)塊鏈上儲存大量數(shù)據(jù)來防止被黑客攻擊。

被盜問題也在通過如使用生物識別技術(shù)訪問，分散得安全協(xié)議等優(yōu)化安全性問題。

希望漏洞是暫時得，在行業(yè)進步過程中能一點點規(guī)避。愿數(shù)字藝術(shù)市場在經(jīng)歷這樣一個過程后，會越來越完善。