安全和不可变的呢？ 为什么 NFT 经常被盗？

“我被黑了！我所有无聊的猿猴都不见了！”

纽约 Ross + Kramer 画廊的画廊主 Todd Kramer 在去年（2021 年）12 月 30 日的推文中写道，该推文现已关闭。 被删除。

在一次网络钓鱼诈骗中，Kramer 从他的以太坊钱包中窃取了 15 个总价值 220 万美元的 NFT，其中包括来自“无聊猿游艇俱乐部”系列的 4 个无聊猿。

小偷卖掉了 Kramer 的很多藏品，推特上很多网友都嘲笑 Kramer 的倒霉，指出他是在押注一个不受监管的去中心化系统。 ，这个系统根本帮不了他。

“天啊，要是有某种监管机构就好了，比如保护你的投资免遭盗窃和欺诈，”一位用户@anarchy_shark 写道。

Bored Ape Yacht Club，#9410，2021，来源：OPENSEA

最后，确实出现了一个权威。 在 NFT 交易平台 OpenSea 的帮助下，Cramer 收回了一些 NFT。

在原始帖子发布 5 小时后，Cramer 在另一条推文中写道：“更新......所有类人猿都被冻结，等待 OpenSea 团队采取行动......吸取教训，使用硬钱包......”

OpenSea 的介入引发了很多争议，有人说，如果它“冻结”了一些 NFT，使其不能在平台上出售，那么 NFT 就不能真正去中心化。

也有人指出，OpenSea 只是简单地冻结了用户通过某个站点与 NFT 交互的能力——他们仍然可以在其他地方进行交易。

OpenSea 和 Cramer 都没有回应这些消息。

NFT盗窃并不是什么新鲜事

随着 NFT 价值的不断提升，网络钓鱼诈骗也变得更加频繁。 然而，有相当多的精明用户通过使用硬钱包（也称为冷钱包）来保护自己，硬钱包是物理的（有点像银行的 USB 防护罩）并且仅在插入和使用时连接到互联网。

另一方面，Cramer 使用所谓的热钱包，它不断连接到互联网并且经常存在漏洞，使其更容易受到攻击。

随着 NFT 市场的持续飙升，像这样的盗窃实际上很猖獗。

例如，营销和媒体策略师 Michael Miraflor 一直在加密艺术热潮中收集 NFT。 去年 3 月，有人入侵了他的 Nifty Gateway 账户，几分钟之内，他的 NFT 收藏就被一扫而空，再也找不回来了。

“今天有人在 Nifty Gateway 上偷了我的 NFT，在我不知情的情况下用数字钱包购买了价值 1 万美元的新 NFT，并把它转移给我，”他在推特上写道。

Mira Fowler 被盗的 NFT 最初是由 MLB 职业艺术家 Micah Johnson 创作的，其作品在加密社区中的知名度越来越高。 约翰逊曾在一分钟内售出价值 100 万美元的 NFT。 米拉福勒还在帖子中通知了约翰逊这起盗窃事件。

迈克尔·米拉·福勒 (Michael Mira Fowler) 发表

Mira Fowler 每天使用 Nifty Gateway 进行 NFT 交易。 当他发现被盗时，是因为 Nifty Gateway 通知他刚刚完成了一笔交易。 当他登录进去，看到账户是空的，他立刻就知道不对劲了。

由于包括转账在内的所有交易都被记录下来，Mira Fowler 知道被盗 NFT 被发送到的 2 个特定账户以及购买者。 在冻结他的信用卡并更改他的 Nifty Gateway 密码后，Mira Fowler 追踪到他的 2 个 NFT 被发送到的账户。

尽管他没有在 Twitter 帖子中透露账户，但 Mira Fowler 写道，其中一个账户存放了数百个 NFT，“可能还存放了其他人的赃物”，而另一个账户则完全是空的。

Mira Fowler 在帖子中写道：“上帝保佑我完全恢复了我的 NFT，上帝保佑我的情况可以用作提高安全性的案例研究——适用于社区中的每个人。”

而Mira Fowler的帖子下面有两条评论，说他们也是最近一两天被盗用的用户。

“今晚有人黑了我的Nifty Gateway账户，用账户里的信用卡买了价值2万美元的艺术品……”一位名叫Keyboard Monkey的用户留言。

在蓬勃发展的 NFT 市场中，黑客也有一种抢劫的方式。 人们通过发布有关艺术家作品的推文，然后将推文作为 NFT 出售，从而躲在匿名 Twitter 帐户后面。

Nifty Gateway 很清楚是谁在进行这些诈骗，但由于一些技术缺陷，黑客设法合法地进行了抢劫。

黑手伸进你的账户

2021 年 4 月，黑客 Person 从佳士得网站下载并伪造了 Beeple 的“Every Day: The First 5,000 Days”文件。 没错，就是拥有 6900 万美金 NFT 上限的 Beeple 作品。 然后通过 Beeple 的钱包铸造了另一个薄荷，并在 NFT 平台上上市销售。

随后，Person 在其网站 NFTheft 上发表了一篇题为《Why I Do It》的文章，直言：“有才华和经验丰富的创作者无法为他们的作品提供任何可靠的保证”，“没有任何权利或保护可以阻止他们的作品被盗用”被盗或被滥用。”

这看起来像是Hacker Person的表演，但他说的比他做的更可怕。

在NFT日益普及的背后，资本的快速涌入，除了价格泡沫，参与者还将面临资产安全风险。

很多人会有疑问，难道NFT数字作品没有财产所有者锚定，不能更改吗？ 约定只要有秘钥，任何人都无法更改NFT拥有者这一事实！ ？

强大的 Metaverse 不能保护数字图片吗？

为什么 NFT 会被盗

据业内人士告诉链信，目前获取艺术品的主要方式是使用URL（网址），而不是直接将数字作品上传到链上。

从事数字艺术品运营的 Kelani Nichole 曾直言：“如果有一天 NFT 平台的服务器宕机，或者他们的 IPFS（分布式文件存储系统，一种常见的保护措施）节点宕机，并且你花很多钱买的内容将无法访问。”

去年3月，不少已经使用IPFS保护措施的用户发现无法加载NFT，最终导致文件泄露，加剧了人们对NFT存储方式的担忧。

既然如此充以太坊到钱包被盗，为什么不选择让数字艺术品直接上链呢？

选择链上的智能合约 URL 或数字艺术品本质上是一个成本问题。

以 Cryptopunk 为例，如果单独上传一张图片，费用约为 600 美元，是上传普通 URL 费用的 50 倍。 10,000 张图片的成本是 600 万美元。

据链圈专业人士介绍，虽然区块链账户号称不可篡改，但智能合约比很多人想象的更容易被窃取和伪造。

事实上，个人钱包被盗的事件已经发生过很多，但以前主要是加密货币，现在涉及到NFT。 随着近年来 NFT 资产价值和流通量的大幅提升充以太坊到钱包被盗，黑客在掌握了受害者的秘钥后，自然会窃取受害者的密钥。 NFT转账套现。

然而，悖论在于：NFT 是一种不可篡改的电子账本，可以对原创数字艺术进行认证和定义，也可以为艺术家提供永久的交易共享； 人们相信，使 NFT 成为现实的区块链技术将带来实实在在的好处。 引发了整个2021年的“NFT抢购潮”，带动价格一路上涨。 而这个价值 24 亿美元的新兴产业所使用的技术基础可能过于薄弱，无法兑现承诺，短期内无药可救。

黑客如何窃取您的数字艺术作品

用户NFT数字资产之所以被盗，是因为其所属钱包私钥泄露或用户在不知情的情况下授权非法转账交易。

要做到这一点，需要用户的“配合”，即用户在不知情的情况下进行授权。 可能有以下三种情况：

1、用户未妥善保管秘钥，如将秘钥信息存放在邮箱等云存储中，或错误发送至社交媒体或发布至钓鱼网站等，即所谓的“访问互联网的秘密密钥”。 例如，黑客可以通过暴力破解邮箱的弱口令来拦截秘钥；

2、用户授权错误。 黑客可以利用虚假网站、虚假钱包或搭建虚假项目来骗取用户的授权，然后在用户感觉不到的情况下利用智能合约窃取资产。

在NFT场景下，由于资产可能包含图片或视频，黑客可能会利用交易网站的漏洞，通过恶意图片触发看似合法的授权弹窗，诱骗用户点击；

3. 密钥存储设备被黑客攻击，这是一种更高级的窃取密钥的方法。 任何联网的设备都可能通过钓鱼邮件、word文件等方式被黑客安装木马，假设用户以明文形式存储秘钥或者加密后的密码过于简单，黑客就有可能远程窃取。 因此，存储密钥的设备需要实时更新安全补丁，并安装杀毒软件进行定期扫描。 用冷钱包操作秘钥更安全。

行业在安全方面的努力

要想杜绝此类事件的发生，除了了解黑客的惯用手段，提高日常警惕外，还需要明确不同平台之间的权责关系。

然而，NFT仍处于起步阶段，现有的系统和人们的共识并不完善，构建一个完整的系统还需要时间。

专业人士认为，个人用户因秘钥被盗或被钓鱼而导致的NFT盗窃，主要责任在用户自身。

钱包、交易平台、拍卖平台在产品使用过程中有义务层层加固。 例如，Nifty Gateway 平台目前不要求用户启用双因素身份验证，但未来可能会有所改变。

双因素认证是指在访问时使用两种信息来验证访问者的身份，是一种提高安全性的方法。 一般是采用的密码和动态密码的组合。

在做好安全保障的基础上，还需要进一步开展用户安全意识教育、网络钓鱼和诈骗陷阱等认知教育工作。

行业应该自强不息，现在一些公司正在研究让用户将大量数据存储在区块链上，以防止黑客入侵。

盗窃问题也通过安全问题得到优化，例如使用生物识别技术、去中心化安全协议等进行访问。

希望这个漏洞是暂时的，在行业进步的过程中能被一点点规避。 我希望数字艺术市场在经历这样一个过程后会越来越完善。