6美元的契约,栓不牢上百萬的NFT!
“警報!警報!警報!”,一隻手機躺在床頭櫃上,吱哇亂叫。Michael J(以下簡稱MJ)熟睡中被驚醒,拿起手機一看,來自加密藝術平臺Nifty Gateway出售商品警報、各個信用卡商的欺詐警報,充斥著他的手機介面。
“壞了!”MJ瞬間清醒,一下子坐起身來,火速打開Nifty Gateway準備轉移資產,可惜為時已晚,他所有的NFT收藏品全被清空,駭客甚至還用MJ的數位錢包購買了價值1萬美元的新NFT,一併轉走了。
幾分鐘時間,MJ價值數十萬美元的NFT藏品化為烏有,再也找不回來了。
Nifty Gateway是一家注册在美國的加密藝術品交易平臺。
有人說,這種情況不能找Nifty Gateway維權嗎?NFT數位作品不是錨定產權人,不可更改嗎?難道沒有辦法嗎?MJ也這麼想,找到Nifty Gateway。
“由於記錄了包括轉帳在內的所有交易,囙此我知道我被盜的NFT發送到的2個具體帳戶以及購買人資訊。”MJ將此提供給Nifty Gateway,此時駭客在Discord頻道上尋找買家。
對此,Nifty Gateway發表聲明說,正在對MJ事件進行分析。“初步評估表明此事件影響有限,未受影響的帳戶都啟用了2FA(Two-factor-authentication雙元驗證法),並且可以通過有效的帳戶憑據獲得存取權限。”
在境外NFT炒作浪潮裏,除了價格泡沫外,參與者還會面臨資產安全風險。
事實證明,隨著NFT大熱,資本快速湧入,網絡罪犯也在將他們的注意力轉向NFT領域。近幾個月來,NFT市場蓬勃發展,數位藝術品資產被盜事件也發生的越來越頻繁。
强大的元宇宙難道無法保護一張數位圖片嗎?為此,《鏈新》採訪了多位一線科技人員,試圖分析出NFT數位資產被盜一事背後的底層科技邏輯、隱藏問題、行業看法以及可防範措施。
1
鏈新
NFT被盜事件頻發
2021年4月,駭客珀森從佳士得的網站上下載並偽造了Beeple的《每一天:第一個5000天》檔案,然後通過Beeple錢包鑄造了另一個鑄幣,在一個NFT平臺上掛牌出售。做完這一切,珀森在自己的網站NFTheft上,發表了一篇題為《我為什麼這麼做》的文章,直言:“才華橫溢、經驗豐富的創作者無法為他們的作品提供任何必要的保障。”,“沒有任何權利或保護措施來防止他們的藝術品被盜或被誤用。”
這是駭客珀森的一場行為藝術,但他說的話卻比他的行為更吸引人。
業內人士告訴《鏈新》,一個典型的NFT常分成兩個獨立的部分,存儲在鏈上的智慧合約或ERC-721標準規範,以及數位藝術品本身。現時,訪問藝術品的主要模式是使用URL(網路位址),而非數位作品直接上鏈。
從事數位藝術品的經營的凱拉尼·尼科爾(Kelani Nichole)曾公開表示對ERC-721的質疑,稱這種模式是危險的,其直言“如果哪天NFT平臺的服務器宕機了,或者他們的IPFS(分佈式檔存儲系統,一種常見的防護措施)節點宕機了,你花很多錢買的內容將無法訪問”。
事實上,即便是用戶採用了IPFS進行維護,還有不少因素同樣會導致URL被破壞,以至於類似Checkmynft.com(用戶可以插入契约地址和權杖ID檢查URL狀態檢驗)等平臺應運而生。
而就在今年3月,Checkmynft發現,已經使用過IPFS存儲的Grimes、DeadMau5和Steve Aoki等用戶的NFT出現無法加載的情况,最終檔案外流。雖然檔案外流沒有對市場造成太大影響,卻也加重了人們對NFT的儲存管道的擔憂。
既然如此,為什麼不直接選擇,簡單直接的數位藝術品直接上鏈呢?
艾貝鏈動CEO葉新告訴《鏈新》記者:“NFT選擇基於智慧合約URL指向的形式存在,還是作為獨立的作品直接上鏈,本質上是成本問題。”
艾貝鏈動是一家區塊鏈領域安全產品與技術服務公司,業務集中在數位身份、數位資產憑證、資產追跡服務等方面。
簡單計算兩種儲存管道的成本,現時來說,乙太坊的存儲成本是256bit=32位元組=20 K gas,假設當前gasPrice是100 gwei,ETH價格為3000美元,那20K gas成本就為6美元。
普遍URL都在64位元組以內,所以一個URL在乙太坊網絡正常情况下的存儲成本大約是12美元左右,通常NFT合約只存了一份URL首碼並使用不同的id拼接出完整的URL。
但如果是獨立上鏈的話,以Cryptopunk為例,一張圖大概需要3000位元組,也就是2000 K gas,約600美元,其成本將會是普通URL上鏈成本的50倍,1萬張圖就是600萬美元。
倘若再遇到乙太坊網絡擁堵,獨立上鏈的gasPrice成本將超出想像。
所以說,從成本上考慮,URL是現時雖然有漏洞卻是最具性價比的選擇。
那麼,駭客們究竟是如何一步步從潜在的科技漏洞,到真正竊取他人的NFT資產的呢?
2
鏈新
穿過你的帳號的黑手
據鏈圈專業人士介紹,儘管區塊鏈帳戶號稱是不可變的,但智慧合約比許多人想像的更容易被竊取和偽造。而且,由於NFT交易可能會帶來豐厚的利潤,駭客就有了進一步攻擊的動機。葉新告訴《鏈新》,近年來NFT市場頻發資產被盜事件主要原因是NFT資產的價值及流通性大幅提升。事實上,個人錢包被盜事件一直很多,只是過去談的是加密貨幣,現在談的是NFT,駭客們自然會在掌握受害者私密金鑰後將NFT轉走套現。
這卻是一件吊詭的事:NFT是一種防篡改的電子帳本,對原始數字藝術進行認證和定義,還可以向藝術家提供永久的交易分成;人們基於相信製作NFT的區塊鏈科技會帶來切實好處而引發2021年上半年的“NFT搶購潮”和逐漸走高的價格;而這個價值24億美元的新興行業所使用的科技基礎卻很差,無法實現它所給出的承諾,短時間內還無法找到根治之策。
既然如此,或許嘗試瞭解駭客們盜走NFT的管道,能在某種程度上减少一些受害者。
據《鏈新》瞭解,用戶NFT數位資產被盜就是因為所屬錢包私密金鑰遭到了洩露或用戶在不知情的情况下授權了非法轉帳交易行為。而要做到這一點,離不開用戶的“配合”,簡單來說,即用戶在不知情的情况下進行了授權,可能有以下三種情况:
1.用戶沒能保管好私密金鑰,比如將私密金鑰資訊儲存在郵箱等雲存儲上,或是誤發到通信軟件或是誤貼到釣魚網站等,也就是所謂的“私密金鑰觸網”。例如在缺乏2FA(雙因素驗證)的情况下,駭客可以暴破郵箱弱口令將私密金鑰截獲;
2、用戶錯誤授權,駭客可利用搭建虛假網站、虛**包或者構建虛假項目騙取用戶授權,進而利用智慧合約中approve/transferFrom的特性在用戶沒有感知的情况下盜取資產。在NFT的場景,由於資產可能帶有圖片或視頻,還存在一個有別於幣的攻擊面,駭客可能通過交易網站的漏洞由惡意圖片觸發看似合法的授權彈窗,誘騙用戶點擊;
3、私密金鑰儲存設備被入侵,這是更進階的一種盜取私密金鑰的管道。任何聯網的設備都可能通過釣魚郵件,word檔案等管道被駭客安裝木馬,假設用戶以明文管道存儲私密金鑰或者加密口令過於簡單,駭客都可能遠程盜取私密金鑰,囙此儲存私密金鑰的設備需要即時更新安全補丁及安裝防毒軟件定期掃描,用冷錢包操作私密金鑰是更安全的做法。
要杜絕此類事件發生,除了要知道駭客們慣用手段、提高日常警惕之外,不同平臺之間權責明晰也非常必要,可NFT正處於萌發階段,現有制度和人們的共識還未完善,需要時間搭建完整體系。
不過在葉新看來,對於個別用戶因私密金鑰被盜或被釣魚造成的NFT盜竊事件,目前來看責任主要在於用戶自己。這是加密市場去中心化市場的主要特性。
而錢包方、交易平臺、拍賣平臺有義務在產品使用過程中層層設防,在自身安全保障過硬的基礎上,還應做好用戶安全意識教育,釣魚詐騙陷阱普及等認知教育工作。
3
鏈新
亡羊補牢,萬物向新
體系不够健全,行業自當努力,NFT的存儲管道有問題需要解决,不少區塊鏈創業公司都希望能在這裡裨補闕漏、貢獻力量。比如,區塊鏈服務和安全公司RubiX的CEO和創始人尼廷·帕拉瓦利(Nithin Palavalli),它們認為現時的存儲選擇還不够,於是發明了一種新的機制——通過該模型在區塊鏈上驗證交易,允許用戶在鏈上存儲大量數據,幫助資產防護駭客攻擊。
而對於那些看重NFT中檔案的用戶來說,檔案的遺失可能會令人崩潰。
對此,RubiX與藝術家合作,使用生物識別技術訪問創建了一種安全性更高的檔案,還與微軟智慧安全協會(Microsoft Intelligent security Association)合作,開發了幾個分散的安全協定,作為區塊鏈安全產品的一部分,這些解決方案或許會令NFT市場更好地運轉。
另外,知識產權律師傑夫·格魯克(Jeff Gluck)一直關心著與藝術家們權利息息相關的智慧合約。他表示,由於沒有鑄造的集中標準,藝術家最終會被騙去轉售分成,於是他創立了提供智慧合約的CXIP實驗室,可以對任何平臺協定進行轉譯。
儲存選擇、檔案流失、智慧合約,似乎一切正如葉新所言,漏洞是暫時的,需要在行業進步過程中一點點規避的。就像早期的DeFi協定也存在大量攻擊事件,但隨著項目開發者普遍安全意識提升,攻擊事件就逐步降低,NFT市場也會經歷這麼一個過程。