原创 | 星球日报
作者 | 夫如何
编辑 | 秦晓峰
近期,两起针对NFT协议合约的恶意攻击受到市场关注——NFTTrader和Flooring Protocol 分别于 16 日以及 17 日受到黑客攻击,星球日报对此进行了回顾。
链上信息显示,12月16日,37枚BAYC及13枚MAYC被转入一特定地址,NFT Trader疑似被攻击。随后NFT巨鲸dingaling 发文称,NFT Trader的Batch Swap合约遭到攻击。
攻击消息很快得到NFT Trader 证实。官方称,黑客针对两个旧智能合约进行恶意代码攻击,导致37枚BAYC及13枚MAYC被盗走,共计损失约400万美金。
按照过往经验,后续的故事情节要不然是项目方自认倒霉赔偿用户,要不然是项目方与黑客商量退款。而这次的黑客非常有觉悟,直接跨过了与项目方沟通的流程,直接倒卖了盗窃所得 NFT 并留下部分资金作为“赏金”。
一位黑客在链上留言称,表示自己并非本次的攻击者,并透露最初攻击者是尾号“bd46”的地址,自嘲自己只是在后面“捡垃圾”。同时该黑客还表示,自己只需要10%赏金,就可以归还NFT,并以每个BAYC 30ETH和MAYC 6 ETH计算金额。此后,黑客将一个BAYC在Blur中出售获得 35ETH,自己留下了4ETH,剩余的ETH还给了NFT持有者。
听起来这像是“有良心”黑客的故事——卖受害者 NFT,只拿走赏金,剩余再还给受害者,但这并不能成为为其开脱的理由。
很快,就有用户提供了一个找回被盗NFT的方法。@0xQuit 发文称,通过对黑客手中NFT的地址分析,多个NFT地址对NFT Trader授权,通过逆向找回的方式,可以黑客手中的NFT再拿回来。
该方法也得到项目方的认可,最终成功追回被盗资产。ApecoinDAO所资助的安全公益组织Boring Security发文表示,被盗的36个BAYC和18个MAYC已经找回(部分被盗的已经出售),将向黑客提供10%的赏金,并将NFT免费送还给受害者。
至此,NFT Trader的NFT被盗事件暂时画上了一个句号,受害者损失并不大。就在NFT Trader事件结束前几个小时,另外一个 NFT 协议Flooring Protocol 也遭遇黑客攻击。
Delegate创始人foobar在X平台发文表示,Flooring Protocol被盗走了14个BAYC 和 36个Pudgy Penguins。随后黑客在 Blur 以远低于地板价的价格开始“甩卖”,BAYC上架价格为26.2ETH,Pudgy Penguins上架价格为9.2ETH,共计获得近168万美元,全部进入黑客口袋。
Flooring Protocol和NFT Trader虽然都是受到了攻击,但受害者的处境却天差地别,只能说NFT Trader的受害者是幸运的。但短短两天接连被盗事件,还是应该为大家敲响了警钟。
慢雾创始人余弦在提醒称:”如果大家在 EVM 链有重要资产,检查与取消重要资产的授权(尤其是无限授权),没人可以100%肯定再知名的协议不会出安全问题。“
星球日报提醒大家,不要轻易点击任何陌生链接,定期清理钱包授权。
",
