“无聊鹫”再度被盗，损失超千万美元！NFT安全存三大风险

近日，“可笑象BAYC”方面确认，BAYC正式QQ被黒，所致部分可笑象等NFT作品不知去向，损失的大千万美金。

4月末25日，BAYC正式Instagram QQ被黒。据BAYC方面援引，黒客通过虚假布署发行了一个相反兜售 BAYC com的欺骗镜像，并指引可不用程序签署“safeTransferFrom”交易系统。这将他们的不动产移转到到了诈骗者的电子货币当中。据了解，safeTransferFrom交易系统是本体巷当中的一项功能，旨在检验 NFT(non-fungible token）合理从所有者到接收者 ERC-721 代币移转到标准。

“推断出黒客攻击后，我们立即汇报了我们的社区，从我们的平台上移除了相反受到破坏 IG 个人信息的镜像，并企图恢复该个人信息。”它在推文章对此，尽管BAYC采用了双环境因素身份验证并遵循安全性最佳实践，但该帐户仍被黒客入侵。BAYC已展开清查，企图找出黒客是如何取得访问权限的。

BAYC 的联合创建者Garga.eth援引，4只可笑象、6只突变象、3只犬舍和其他“各种宝贵的 NFT”被移转到给了黒客。根据市场的底价，估计被移转到的NFT效用的大过 1000 万美元。区块链安全公司派盾对此，黒客偷取了765.3枚ETH及构成BAYC、MAYC、BAKC、CloneX在内的91枚NFT，仍未销售了大约 23 个 NFT并取得了大约 240 万美元。他们向乌克兰 Crypto Donation赠与了大约 1.6枚 ETH，并开始将偷取的ETH移转到到 CEX（当中心化交易系统当中心）。

本次Instagram QQ被黒事件不是BAYC旗下NFT第一次出现不知去向事件，4月末1日，周杰伦就在留言板舆论上确认，自己名下的可笑象BAYC NFT无故钓鱼不知去向。而区块链黒客的社区活动全域都未西可BAYC这样的“家电”，而是活跃在整个区块链生态系统内。根据 Atlas VPN 他的团队的原先科学研究，区块链黒客在 2022 年第一季度的 78 起黒客事件当中窃取了大大约 13 亿美元。

NFT可不用程序可不如何能消除不知去向？

“区块链系统的安全性特性并不意味著每个人的NFT等二进制不动产都不会不知去向”，当中国移动无线电联合会元宇宙制造业委员会分派主任、当中国无线电工业协会区块链专委会共同主席于佳宁对南都湾财社美联社介绍援引，迄今NFT领域在安全性上存在操作方法效用、电子技术效用、道德效用这三大类效用。

于佳宁介绍援引，说是的“操作方法效用”，主要是可不用程序因不当操作方法所致副本或助记词泄露而引发的效用，“也最主要移转到不动产时填错地址所致不动产丢失的效用”。同时，NFT的背后是人工智能合大约，其当中所有的操作方法都是通过一行行的字符来分派，“如果这些字符不完善，很难以被黒客钻空子，对原先项目同步进行攻击，这就是电子技术效用”。另外，也有些钓鱼原先项目会用欺骗性的社区活动令其可不用程序对某个人工智能合大约同步进行专利权，黒客再通过人工智能合大约窃取可不用程序电子货币当中所有同步进行过专利权的不动产。此外，道德效用主要指的是一些原先项目方作恶，以NFT为噱头非法融资，欺骗可不用程序，骗取可不用程序的二进制不动产。

于佳宁向可不用程序提出了四点注意事项：“第一，副本或助记词要用科学作法备份，终将触网。第二，仔细甄别邮件及com的URL，尽量从部落格或原先项目正式推特或Discord等社群进入原先项目部落格，同时谨慎对待专利权，不要在一些小原先项目或者说是“完全免费”领取NFT的com上对自己的电子货币同步进行专利权。第三，仔细查看原先项目是否经过字符安全性稽核机构的稽核。有效、专业的字符安全性稽核能短时间内排查出未知的人工智能合大约恶意。第四：不间断挖掘专利权原先项目。在对存放NFT的二进制电子货币同步进行专利权的时候，一定要确定专利权的类型和限额，消除被有心原先项目卷走不动产。同时，要不间断挖掘专利权的原先项目，在同步进行专利权以后再三核对合大约地址，对举例寻常人工智能合大约不可不专利权。”

采写：南都美联社 叶露 助手 段欣雨