当提到NFT(非同质化代币)时,人们往往会想到数字资产的独特性和不可替代性。然而,随着NFT市场的迅速增长,也引发了一系列关于NFT攻击向量的关注。在本系列文章中(当前系列第四篇,也是最后一篇),我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。在这里阅读有关 NFT 的更多信息。
私钥泄露
描述:
NFT所有权通过私钥管理,私钥是特定数字钱包中所有资产的守护者。持有私钥的任何人都可以获得访问权限,并将NFT从数字钱包中移出并重新销售。
为了访问所有者权限,骗子们需要他们的私钥。在大多数情况下,这些私钥是通过社会工程学手段获得的,这些手段最终导致所有者无意中向攻击者泄露私钥。许多这些社会工程学策略可能与钓鱼或冒充骗子使用的策略相似。在2020年和2021年,私钥泄露导致了2.6亿美元的盗窃 - 包括可替代和非可替代的token DeFi协议。
参考资料:
空投漏洞
描述:
偶尔,一个现有的NFT项目可能会试图通过向其社区发起空投来维持其炒作或推高NFT价格。它们通常通过进行“快照” - 记录在特定时间点谁拥有什么或多少代币 - 然后相应地分配新的加密资产来实现。特定于NFT的空投可能基于“每个NFT的代币”进行。这使用户可以根据他们对特定收藏的NFT的拥有权来领取空投。
根据它们的编码或组织方式,攻击者可能会找到参与空投但不符合资格的方式,或索取比预期更多的代币/NFT。空投失败在更广泛的加密资产领域很常见,不仅限于NFTs。
参考资料:
API漏洞
描述:
在大多数情况下,通过前端用户界面发起的交易将通过API在NFT平台的智能合约上进行通信和执行。虽然API漏洞的实例并不多,但值得注意的是它们可能存在漏洞。这些漏洞可能源于前端交互向智能合约通信的时间延迟,或者以一种在平台前端不明显的方式运行。
参考资料:
https://finance.yahoo.com/news/marketplace-exploit-leads-catastrophic-losses-131904566.html
NFT社交媒体黑客
描述:
最近NFT的普及度飙升,部分原因是线上线下信息不足,使其成为骗子和黑客的热门目标。对于这些NFT项目来说,Discord是最常见的被黑客攻击的社交媒体平台。
NFT项目的Discord是一个互动论坛,艺术家、开发人员和投资者在其中讨论各种相关话题。最近几个月,通过已被黑客攻击的Discord账户部署的与NFT铸造骗局相关的网络钓鱼攻击迅速增加。
黑客攻击Discord服务器的常见方式包括:
- 社会工程学
- 利用Discord机器人漏洞
- 不安全的账户
参考资料:
https://medium.com/quillhash/analysing-nfts-discord-server-hacks-quillaudits-46f8d874f913
网络钓鱼诈骗
描述:
网络钓鱼诈骗可能是NFT社区中最常见的骗局,也可能是整个加密货币社区中最常见的骗局。它们涉及到虚假的恶意网站,通过以下两种主要方式之一来威胁受害者的加密资产:
- 通过伪造的弹出窗口 - 冒充知名的托管钱包提供商的登录面板 - 一旦输入后,就会窃取受害者的钱包信息。
- 通过鼓励受害者无意中签署恶意交易,以便骗子冒充合法的NFT项目,窃取他们的NFT。这利用了ERC721和ERC1155标准中的“SetApprovalForAll()”功能,允许 - 经过钱包所有者的批准 - 其他人管理他们的资产。
参考资料:
https://nftnow.com/guides/nftldr-phishing-scams-explained-in-under-400-words/
前端攻击
描述: 黑客越来越多地针对NFT协议的前端网站,试图窃取用户的资金。
在这种攻击中,黑客会篡改网站或域名,将毫不知情的用户或其交易重定向到恶意目的地。如果用户在攻击者的网站上签署交易,以为是真正的网站,在这种情况下,攻击者可以从钱包中窃取用户的所有资产。
2022年1月,Opensea NFT市场遭受了一次前端攻击,攻击者提取了332个以太币。
参考资料:
https://forkast.news/headlines/opensea-nft-marketplace-hacked-332-eth/
总结
在本系列文章(最后一篇)中,我们探讨了一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。
2832
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
