NFT 是过去一个月最火热的话题,骇客自然不会放过。在 Nifty Gateway 平台上已有多名用户账户被盗用,估计损失 20 万美元,但平台表示系统并未被入侵,到底怎么回事?
NFT(非同质化代币)利用区块链不可窜改的特性,让数位内容变成可交易、可认证的商品,在名人作品助威下,一夕之间成为最热门的交易市场,当然也引来骇客关注。
在最热门的交易平台之一 Nifty Gateway 上,陆续有多位用户传出账户被盗用消息。骇客利用这个账号下单交易价值上万美元的商品后,再将获利转移到其他电子钱包,目前损失最严重的一位用户,声称他有 15 件 NFT 商品被盗走转卖,估值约 15 万美元。
除了数位资产被变卖,这些用户的信用卡资讯也都被窃走,损失惨重。
List of stolen pieces from @niftygateway hack. Not one other account of mine compromised and other ppl on NG same hack. $150K+ of things stolen. pic.twitter.com/GEC3Y4PdHQ
— Keyboard Monkey (@KeyboardMonkey3) March 15, 2021
虽然这些受害者都表示他们被骇客入侵,但是 Nifty Gateway 平台官方回应表示,他们接获消息后,确实发现有这些交易行为,但是网站系统却没有任何被入侵的迹象,经查证后发现,这些被盗用户,都没有采用两阶段认证。
如果用户在平台上使用的账号密码,之前就已经外流,那么在缺乏两阶段认证(简讯或 email 确认)的情况下,账户就会轻易地被骇客盗用,这在所有网站服务都一样,只是 NFT 的热度和高单价特性,让这个损失来得又快又惨重。
Nifty Gateway 除了强调用户要启用两阶段认证外,他们也发现许多用户在 Twitter 或 Discord 平台上交易 NFT,这种场外交易,就成为骇客“销赃”的最佳管道。
由于不可修改的特性,NFT 一旦被交易就无法逆转,因此这些用户不太可能重新取回失窃的代币。但就像现实世界中价值连城的画作,如果名气太高,其实也不好转手,因此大部分骇客都是在入侵账号后,立刻出售换成虚拟货币后转出,省下后续麻烦。
随着这种新形态的交易增加,安全问题和相关法律问题很快就会浮上台面,届时又要面临监管问题,这对于刚刚抬头的 NFT 市场来说,虽然是一个打击,但也是一个纳管的转机,才能取得更多用户的信任。
- Hackers stole NFTs from Nifty Gateway users
(首图来源:Nifty Gateway)