短短兩天,NFT Trader 和 Flooring Protocol 接連被盜。
作者:夫如何
編輯:秦曉峰
原創:Odaily 星球日報
封面:Photo by Moritz Erken on Unsplash
近期,兩起針對 NFT 協定合約的惡意攻擊受到市場關注——NFT Trader 和 Flooring Protocol 分別於 16 日以及 17 日受到駭客攻擊,Odaily 星球日報對此進行了回顧。
鏈上信息顯示, 12 月 16 日, 37 枚 BAYC 及 13 枚 MAYC 被轉入一特定位址,NFT Trader 疑似被攻擊。 隨後 NFT 巨鯨 dingaling 發文稱,NFT Trader 的 Batch Swap 合約遭到攻擊。
攻擊消息很快得到 NFT Trader 證實。 官方稱,駭客針對兩個舊智慧合約進行惡意代碼攻擊,導致 37 枚 BAYC 及 13 枚 MAYC 被盜走,共計損失約 400 萬美金。
按照過往經驗,後續的故事情節要不然是專案方自認倒楣賠償使用者,要不然是專案方與駭客商量退款。 而這次的駭客非常有覺悟,直接跨過了與專案方溝通的流程,直接倒賣了盜竊所得 NFT 並留下部分資金作為「賞金」。。
一位駭客在鏈上留言稱,表示自己並非本次的攻擊者,並透露最初攻擊者是尾號「bd46」的位址,自嘲自己只是在後面「撿垃圾」。 同時該駭客還表示,自己只需要 10% 賞金,就可以歸還 NFT,並以每個 BAYC 30 ETH 和 MAYC 6 ETH 計算金額。 此後,駭客將一個 BAYC 在 Blur 中出售獲得 35 ETH,自己留下了 4 ETH,剩餘的 ETH 還給了 NFT 持有者。
聽起來這像是「有良心」駭客的故事——賣受害者 NFT,只拿走賞金,剩餘再還給受害者,但這並不能成為為其開脫的理由。
很快,就有使用者提供了一個找回被盜 NFT 的方法。 @0xQuit 發文稱,通過對駭客手中 NFT 的位址分析,多個 NFT 位址對 NFT Trader 授權,通過逆向找回的方式,可以駭客手中的 NFT 再拿回來。
該方法也得到專案方的認可,最終成功追回被盜資產。 ApecoinDAO 所資助的安全公益組織 Boring Security 發文表示,被盜的 36 個 BAYC 和 18 個 MAYC 已經找回(部分被盜的已經出售),將向駭客提供 10% 的賞金,並將 NFT 免費送還給受害者。
至此,NFT Trader 的 NFT 被盜事件暫時畫上了一個句號,受害者損失並不大。 就在 NFT Trader 事件結束前幾個小時,另外一個 NFT 協定 Flooring Protocol 也遭遇駭客攻擊。
Delegate 創始人 foobar 在 X 平台發文表示,Flooring Protocol 被盜走了 14 個 BAYC 和 36 個 Pudgy Penguins 。 隨後駭客在 Blur 以遠低於地板價的價格開始「甩賣」,BAYC 上架價格為 26.2 ETH, Pudgy Penguins 上架價格為 9.2 ETH,共計獲得近 168 萬美元,全部進入駭客口袋。
Flooring Protocol 和 NFT Trader 雖然都是受到了攻擊,但受害者的處境卻天差地別,只能說 NFT Trader 的受害者是幸運的。 但短短兩天接連被盜事件,還是應該為大家敲響了警鐘。
慢霧創始人余弦在提醒稱:“ 如果大家在 EVM 鏈有重要資產,檢查與取消重要資產的授權(尤其是無限授權),沒人可以 100% 肯定再知名的協定不會出安全問題。 “
Odaily 星球日報提醒大家,不要輕易點擊任何陌生連結,定期清理錢包授權。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
