原創(chuàng) | Odaily星球日報(bào)
作者 | 夫如何
近期,兩起針對 NFT 協(xié)議合約的惡意攻擊受到市場關(guān)注——NFT Trader 和 Flooring Protocol 分別于 16 日以及 17 日受到黑客攻擊,Odaily星球日報(bào)對此進(jìn)行了回顧。
鏈上信息顯示, 12 月 16 日, 37 枚 BAYC 及 13 枚 MAYC 被轉(zhuǎn)入一特定地址,NFT Trader 疑似被攻擊。隨后 NFT 巨鯨 dingaling 發(fā)文稱,NFT Trader 的 Batch Swap 合約遭到攻擊。
攻擊消息很快得到 NFT Trader 證實(shí)。官方稱,黑客針對兩個舊智能合約進(jìn)行惡意代碼攻擊,導(dǎo)致 37 枚 BAYC 及 13 枚 MAYC 被盜走,共計(jì)損失約 400 萬美金。
按照過往經(jīng)驗(yàn),后續(xù)的故事情節(jié)要不然是項(xiàng)目方自認(rèn)倒霉賠償用戶,要不然是項(xiàng)目方與黑客商量退款。而這次的黑客非常有覺悟,直接跨過了與項(xiàng)目方溝通的流程,直接倒賣了盜竊所得 NFT 并留下部分資金作為“賞金”。
一位黑客在鏈上留言稱,表示自己并非本次的攻擊者,并透露最初攻擊者是尾號“bd46”的地址,自嘲自己只是在后面“撿垃圾”。同時該黑客還表示,自己只需要 10% 賞金,就可以歸還 NFT,并以每個 BAYC 30 ETH 和 MAYC 6 ETH 計(jì)算金額。此后,黑客將一個 BAYC 在 Blur 中出售獲得 35 ETH,自己留下了 4 ETH,剩余的 ETH 還給了 NFT 持有者。
聽起來這像是“有良心”黑客的故事——賣受害者 NFT,只拿走賞金,剩余再還給受害者,但這并不能成為為其開脫的理由。
很快,就有用戶提供了一個找回被盜 NFT 的方法。@0xQuit 發(fā)文稱,通過對黑客手中 NFT 的地址分析,多個 NFT 地址對 NFT Trader 授權(quán),通過逆向找回的方式,可以黑客手中的 NFT 再拿回來。
該方法也得到項(xiàng)目方的認(rèn)可,最終成功追回被盜資產(chǎn)。ApecoinDAO 所資助的安全公益組織 Boring Security 發(fā)文表示,被盜的 36 個 BAYC 和 18 個 MAYC 已經(jīng)找回(部分被盜的已經(jīng)出售),將向黑客提供 10% 的賞金,并將 NFT 免費(fèi)送還給受害者。
至此,NFT Trader 的 NFT 被盜事件暫時畫上了一個句號,受害者損失并不大。就在 NFT Trader 事件結(jié)束前幾個小時,另外一個 NFT 協(xié)議 Flooring Protocol 也遭遇黑客攻擊。
Delegate 創(chuàng)始人 foobar 在 X 平臺發(fā)文表示,F(xiàn)looring Protocol 被盜走了 14 個 BAYC 和 36 個 Pudgy Penguins。隨后黑客在 Blur 以遠(yuǎn)低于地板價(jià)的價(jià)格開始“甩賣”,BAYC 上架價(jià)格為 26.2 ETH, Pudgy Penguins 上架價(jià)格為 9.2 ETH,共計(jì)獲得近 168 萬美元,全部進(jìn)入黑客口袋。
Flooring Protocol 和 NFT Trader 雖然都是受到了攻擊,但受害者的處境卻天差地別,只能說 NFT Trader 的受害者是幸運(yùn)的。但短短兩天接連被盜事件,還是應(yīng)該為大家敲響了警鐘。
慢霧創(chuàng)始人余弦在提醒稱:”如果大家在 EVM 鏈有重要資產(chǎn),檢查與取消重要資產(chǎn)的授權(quán)(尤其是無限授權(quán)),沒人可以 100% 肯定再知名的協(xié)議不會出安全問題。“
Odaily星球日報(bào)提醒大家,不要輕易點(diǎn)擊任何陌生鏈接,定期清理錢包授權(quán)。
喜來順財(cái)經(jīng)
