NFT是过去一个月最火热的话题,黑客自然不会放过。在Nifty Gateway平台上已有多名用户账户被盗用,估计损失20万美元,但平台表示系统并未被入侵,到底怎么回事?
NFT(非同质化代币)利用区块链不可篡改的特性,让数字内容变成可交易、可认证的商品,在名人作品助威下,一夜之间成为最热门的交易市场,当然也引来黑客关注。
在最热门的交易平台之一Nifty Gateway上,陆续有多位用户传出账户被盗用消息。黑客利用这个账号下单交易价值上万美元的商品后,再将获利转移到其他电子钱包,目前损失最严重的一位用户,声称他有15件NFT商品被盗走转卖,估值约15万美元。
除了数字资产被变卖,这些用户的信用卡信息也都被窃走,损失惨重。
List of stolen pieces from@niftygatewayhack. Not one other account of mine compromised and other ppl on NG same hack. $150K of things stolen.pic.twitter.com/GEC3Y4PdHQ
—Keyboard Monkey (@KeyboardMonkey3)March 15, 2021
虽然这些受害者都表示他们被黑客入侵,但是Nifty Gateway平台官方回应表示,他们接获消息后,确实发现有这些交易行为,但是网站系统却没有任何被入侵的迹象,经查证后发现,这些被盗用户,都没有采用两阶段认证。
如果用户在平台上使用的账号密码,之前就已经外流,那么在缺乏两阶段认证(短信或email确认)的情况下,账户就会轻易地被黑客盗用,这在所有网站服务都一样,只是NFT的热度和高单价特性,让这个损失来得又快又惨重。
Nifty Gateway除了强调用户要激活两阶段认证外,他们也发现许多用户在Twitter或Discord平台上交易NFT,这种场外交易,就成为黑客“销赃”的最佳渠道。
由于不可修改的特性,NFT一旦被交易就无法逆转,因此这些用户不太可能重新取回失窃的代币。但就像现实世界中价值连城的画作,如果名气太高,其实也不好转手,因此大部分黑客都是在入侵账号后,立刻出售换成虚拟货币后转出,省下后续麻烦。
随着这种新形态的交易增加,安全问题和相关法律问题很快就会浮上台面,届时又要面临监管问题,这对于刚刚抬头的NFT市场来说,虽然是一个打击,但也是一个纳管的转机,才能取得更多用户的信任。
(首图来源:Nifty Gateway)