如果你關注 NFT 動態,一定知道愚人節那天,周杰倫對外表示他的「無聊猿」NFT 被偷了。但實際上是怎麼回事?跟你我的 NFT 安全是否有關係?以色列資安公司 Check Point Research (CPR) 日前發佈一份報告,警告知名的 NFT 交易平台 Rarible 存在漏洞,可讓用戶的資產瞬間化為烏有,而周杰倫的 NFT 就是以這樣的方式被偷走的!
知名交易網站也存有漏洞
據媒體報導,偷走周杰倫 NFT 的人,大搖大擺立刻就轉賣,並且經歷多次轉手,價格到達 133、155以太幣,差不多等於 1240 萬與 1400 萬元左右台幣。Packshield 資安網站指出,他還有一枚「突變猿」、兩枚 Doodles 也被偷走。
就在周杰倫的「無聊猿#3738」被盜賣之後,事件引起了 CPR 注意,「激勵了我們進行進一步調查」,CPR 的產品漏洞研究部門主管 Oded Vanunu 這樣表示。而這樣的盜賣方式與他們這次警告 Raribles 的情況類似。
原來是老招:可疑連結......
根據這份報告所說,惡意行為者會送給 NFT 擁有者一個可疑的 link,如果點擊它,JavaScript 碼就會執行,讓擁有者開放權限給所有人。也就是說,用戶的錢包在 Rarible 就可以無障礙存取。Rarible 已經修復了這個漏洞。
報告也指出,這樣的脆弱性可以讓用戶的 NFT 與加密貨幣一次就能被領走。而這樣的攻擊也可能來自惡意的 NFT 本身,因此在 Rarible 中,用戶很可能會因此缺乏警覺,就進行轉移動作。Vanunu 強調,這樣的漏洞在其他很多 NFT 交易平台上,都可能會發生,所幸,至少,Rarible 移除了上傳 SVG 檔案的功能,此類型盜賣就不會發生。
這種動作就不要再做了
Vanunu 呼籲所有用戶,在收到所有平台上要求你做什麼事時,都要小心謹慎,並且在像 Etherscan 這樣的平台上再做確認,可以進一步追尋這些要求的過往軌跡,如此才能減少是否惡意的不確定性。
你可能聽多了「區塊鏈資料無法更改,很安全」之類的說法,不過不是真正專家的一般人,還是可能讓小偷在任何一個可以有機可趁的環節,偷走你的珍愛。至少我們可確定的是,就跟「傳統」的網路世界一樣,不論是從 email、社群媒體,甚至電話簡訊傳來的可疑網路連結,統統都不要點!
PS.在 Opensea 搜尋資料的過程中,無意發現了這隻 BAYC#3738,但看看就覺得不對勁,例如 CodeArtClassic 擁有 10 個全都沒賣,在 Polygon 次級鏈上打造等等,需要多花一點功夫才能找到周董真正被盜賣的那一隻。原來這10隻是其他人複製了圖片,在不同的地方上架掛賣。電子藝術的容易複製特性在此顯露無疑,因此買賣前對於作品的來歷也要多加小心!
參考資料
