周杰倫被盜賣NFT的真相！只因為做了這個動作

如果你關注 NFT 動態，一定知道愚人節那天，周杰倫對外表示他的「無聊猿」NFT 被偷了。但實際上是怎麼回事？跟你我的 NFT 安全是否有關係？以色列資安公司 Check Point Research (CPR) 日前發佈一份報告，警告知名的 NFT 交易平台 Rarible 存在漏洞，可讓用戶的資產瞬間化為烏有，而周杰倫的 NFT 就是以這樣的方式被偷走的！

據媒體報導，偷走周杰倫 NFT 的人，大搖大擺立刻就轉賣，並且經歷多次轉手，價格到達 133、155以太幣，差不多等於 1240 萬與 1400 萬元左右台幣。Packshield 資安網站指出，他還有一枚「突變猿」、兩枚 Doodles 也被偷走。

就在周杰倫的「無聊猿#3738」被盜賣之後，事件引起了 CPR 注意，「激勵了我們進行進一步調查」，CPR 的產品漏洞研究部門主管 Oded Vanunu 這樣表示。而這樣的盜賣方式與他們這次警告 Raribles 的情況類似。

根據這份報告所說，惡意行為者會送給 NFT 擁有者一個可疑的 link，如果點擊它，JavaScript 碼就會執行，讓擁有者開放權限給所有人。也就是說，用戶的錢包在 Rarible 就可以無障礙存取。Rarible 已經修復了這個漏洞。

報告也指出，這樣的脆弱性可以讓用戶的 NFT 與加密貨幣一次就能被領走。而這樣的攻擊也可能來自惡意的 NFT 本身，因此在 Rarible 中，用戶很可能會因此缺乏警覺，就進行轉移動作。Vanunu 強調，這樣的漏洞在其他很多 NFT 交易平台上，都可能會發生，所幸，至少，Rarible 移除了上傳 SVG 檔案的功能，此類型盜賣就不會發生。

Vanunu 呼籲所有用戶，在收到所有平台上要求你做什麼事時，都要小心謹慎，並且在像 Etherscan 這樣的平台上再做確認，可以進一步追尋這些要求的過往軌跡，如此才能減少是否惡意的不確定性。

你可能聽多了「區塊鏈資料無法更改，很安全」之類的說法，不過不是真正專家的一般人，還是可能讓小偷在任何一個可以有機可趁的環節，偷走你的珍愛。至少我們可確定的是，就跟「傳統」的網路世界一樣，不論是從 email、社群媒體，甚至電話簡訊傳來的可疑網路連結，統統都不要點！

PS.在 Opensea 搜尋資料的過程中，無意發現了這隻 BAYC#3738，但看看就覺得不對勁，例如 CodeArtClassic 擁有 10 個全都沒賣，在 Polygon 次級鏈上打造等等，需要多花一點功夫才能找到周董真正被盜賣的那一隻。原來這10隻是其他人複製了圖片，在不同的地方上架掛賣。電子藝術的容易複製特性在此顯露無疑，因此買賣前對於作品的來歷也要多加小心！

參考資料