周杰伦百万NFT被盗,再牛的加密都架不住社会工程学?

[复制链接]
查看4701 | 回复0 | 2022-4-15 16:37:11 | 显示全部楼层 |阅读模式
4月2日,周杰伦在ins上发文自己的无聊猿被盗,NFT迅速成为国内社交网站的霸屏话题。1 F3 y5 l$ k: D) z% }& x: N2 j
周杰伦百万NFT被盗,再牛的加密都架不住社会工程学?-1.jpg
6 c, U" W# G% [  o8 r" V

! Q+ b+ X* B, l3 A/ b7 o3 ]图源:周杰伦ins
! z  i% M7 }1 i, w9 R. P; \, G( X* p8 s% @$ J2 m
从去年3月份,艺术家Beeple的NFT画作《Everydays:The First 5000 Days》拍出天价6937万美元,NFT迅速爆红出圈。5 x7 Z  k% a* |% u# B
今年北京冬奥会期间,冰墩墩NFT数字藏品价格暴涨近千倍,引来无数人的热抢。NFT的行业热度可谓「史无前例」。打开百度指数,以「NFT」为关键词进行搜索,会发现,最近30天,搜索指数日均值达到12870,资讯指数日均值突破73708,要知道百度指数突破500就是高热度内容。超高话题的NFT,迅速进入普通大众的视野。4 O* _" U9 J. \- f: G2 y9 K
9 [# y- s5 \  b

, F) H, @) u" M$ l
5 c. f. c& ?8 @9 w8 n* h9 y- A4 S, b2 `6 k( j
0 d$ o3 ~. A  X7 j3 l2 C( Q' T
NFT 是个啥?# L' R4 Q6 R3 n1 K! C

2 U% G8 A3 d; ~' l$ lNFT如此火爆,很多网友要问,NFT是个啥?借这个话题,跟大家唠一唠。% t# ?4 H- Q2 P! S4 V3 s
NFT英文全称是Non-Fungible Tokens,中文一般译为“不可同质化代币/不可替代代币”。! t- v7 L' d) j8 @
周杰伦百万NFT被盗,再牛的加密都架不住社会工程学?-2.jpg ) A  n6 e$ ^5 ^* H
图片来源:维基百科
) V: X7 x: `/ O9 C$ {
9 Q" ~1 G* g& f. b) ^
它用于表示数字资产,也就是视频、音频、图片、艺术品、游戏道具等的唯一加密令牌,是属于区块链的一个条目。试想一下,用比特币购买一个NFT,就相当于用人民币购买一幅画,用游戏币购买一个道具,并且还能自带防伪标识,这样是不是好理解了。当然这样描述也不是非常准确的,NFT并不代表数字产品本身,而是购买者对作品所有权的凭证。我们可以花钱购买一张图片的NFT,这个行为就会上链记录,并且证明我是这张图片的永久拥有者。而且NFT还可以第二次交易、转卖和赠送给别人。6 D- `$ w2 ?  Q. h: z* a+ Q5 L& `

( r( q0 _; W6 i2 d1 Y这个概念一经推出,就受到很多明星名人的追捧,比如周董的这个猴子,同系列还有一只蓝毛猴。如果你身边有喜欢篮球的朋友,他很可能用过下面这张头像,这是NBA 球员库里豪掷18万美元所购买的NFT。4 ~5 i- x& N3 Q0 e1 o0 p; Z
周杰伦百万NFT被盗,再牛的加密都架不住社会工程学?-3.jpg
1 g1 g- G- E# D$ ]* l

4 [7 s4 r6 j3 G/ s
% C6 `! r! |% W, b" O# i3 q" R库里无聊猿头像,图片来源库里ins
% O3 b; s' R4 u; {: y8 ?+ i
# _4 D% b- {7 o1 y7 \% ~库里花了18万美元买了一张头像,我右键保存,是不是净赚18万美元?好吧,开玩笑呢。尽管我能复制保存这张图,但这张蓝毛猴子真正的主人是库里。和现实生活中的艺术品一样,每个人都可能拥有梵高画作《花瓶里的十五朵向日葵》1:1复制版、海报,但真正的的原版作品只有一个,只在一个人手里。NFT这玩意很值钱,周董和库里参与的无聊猿就是全球最火的NFT之一,目前单品全网最低价是108以太币,折合美元35万。而周杰伦被盗的这只无聊猿大概得42万美元。
8 H9 j, C( G) l, s  H% }) z5 X( ^6 U- S1 B, Y
要知道,在去年4月无聊猿项目刚上线时,这些猴子图片单价也才200美元,不到一年时间,价格翻了2000倍左右。据数据机构Nonfungible统计,2021年NFT交易规模达到140亿美元。预测2022年,海外NFT市场的成交纪录或将达到220亿美元。
5 B$ M: z% v9 ^2 B0 L' a3 {$ x1 q- Y- U$ `  Z; N

2 \5 z& G& Q2 O- V# K, ^
9 S5 @, Z0 |1 q) k. ~" n3 D( R9 z; f  F* ^, c) m
为什么会被盗?
* r" k; t/ D' A! K* _. C) W& C
7 V2 _! ^" q3 V: eNFT巨大的增值空间和成长趋势,不仅吸引了海量的散户入局,也引起了黑产团伙的摩拳擦掌。黑产团伙一般通过两种途径窃取用户信息,一是直接攻击业务体系;二是针对普通用户,使用木马/病毒直接截获用户敏感数据,或是通过钓鱼网站欺骗用户自己交出信息。
& c% M0 b; I3 m# M7 m5 w) T比如要盗取周董的 NFT,可以通过直接攻击业务系统来拿他的账号和密码。周董的 NFT 是放在以太坊钱包里,所以要盗取这个猴子 NFT,就得先破解他的以太坊秘钥。以太坊秘钥,是一串256位的二进制数字。每一位都有2种可能(0或1),要猜对全部256个数字,最多需要暴力尝试2²⁵⁶次这个数字有多庞大呢?2²⁵⁶=1800亿亿*1800亿亿*1800亿亿*1800亿亿。如此庞大的数字,就是用超级计算机暴力破解也根本不可能。显然,黑产团队也不可能这么蛮干。+ e  d/ T1 F9 P2 I. S5 O5 f$ w

; R, m0 h) n: ]! {7 D8 M那最容易得手就是第二种途径:通过非IT手段的欺诈即通过交流来诱导受害者通过安全认证从而侵入到敏感信息。跟电信诈骗一样,训练有素的诈骗团伙首先通过骗取话术营造紧张感。紧接着伪装一条真实平台的短信链接或网址发送到你的手机,只要你点进去输入账户和密码等其它操作,敏感数据就会完整暴露给诈骗团伙。
* M& J+ G/ l& t5 k- Q$ l1 b9 I
周杰伦百万NFT被盗,再牛的加密都架不住社会工程学?-4.jpg * u/ a; g5 h1 J3 r; F3 E9 X- q
图片来源:维基百科

4 u* D" h- D1 o" M7 L, _6 y% y/ Y2 L* J4 h3 I9 x
周董就是被引诱进入伪装好的钓鱼网站,输入账号和密码,最后被盗。而据外媒报道,包括无聊猿在内的多个NFT项目在4月1日被黑客攻击,都是发布钓鱼信息诱导用户泄露数据,但目前不确定有多少用户受害。媒体调查显示,这次针对多个主流NFT项目的攻击,牵涉两个加密货币钱包地址,而此次钓鱼式攻击窃取的资产,最终流向了一个异常活跃的加密货币钱包地址。该钱包共有1447个以太币(折合约500万美元),600万泰达币(折合约600万美元),以及大量其他加密货币。周杰伦NFT被盗事件上热搜也证明了,NTF收益很高,加密手段也很高级,可是盗窃成本却是极低的。
( H6 G0 |3 S; H' J" Y+ _4 f0 M; ?9 Q/ i5 d: k9 X

$ C* P" y- a1 T2 ^) t5 s% R6 ?1 @- U/ O
! u7 B- e! A8 w: x$ J; u5 n
如何防盗?% P% S) H$ n& [
) B% e1 V/ ?+ G; `  q
真是再牛的加密手段也干不过社会工程学。随着价格猛增,被黑客盗窃风险也越来越大,要想避免损失,只能靠自己加强防范。
7 X# {8 x+ a! m& F1 p" C4 f
! P# D: v7 w6 @8 a8 e
周杰伦百万NFT被盗,再牛的加密都架不住社会工程学?-5.jpg
/ W  z: l2 O8 P0 c% q* X

) V  B# T: u- ?% O' `2 }2 i
$ P. N! i% c& K* k; `第一:对待各色包装的天花乱坠的网站,要仔细甄别,确保打开的网址域名是真的。第二:鉴于个人Crypto钱包的秘钥和助记词无法修改,以及以太坊地址的匿名性,一旦密钥被泄露,不仅这个钱包不能被使用,你也无法查明黑客到底是谁。不要泄露秘钥和助记词很重要。第三:如果你的钱包不小心被授权在虚假网站,要及时取消授权。
, ?2 H- d7 B- I7 |0 |- m' U0 k) q3 T+ N0 @$ D
最重要的要牢记:区块链领域目前不受我国法律保护,一旦被盗,可没人帮你找回。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

69

金钱

0

收听

0

听众
性别
保密

新手上路

金钱
69 元