纽约罗斯+克莱默画廊(Ross + Kramer gallery)的画廊老板托德·克莱默(Todd Kramer)在去年(2021年)12月30日发布的一条推文中写道,目前这条推文已被删除。在一次网络钓鱼诈骗中,克莱默被盗走了他以太坊钱包中的15个NFT,总价值220万美元,其中包括来自“Bored Ape Yacht Club”收藏的4只无聊猿。这个小偷已经卖掉了克莱默的很多藏品,推特上不少网友嘲笑克莱默的坏运气,指出他把赌注押在了一个不受监管、权力分散的系统上,遇到这种事,这个系统完全帮不了他。一位网名为@anarchy_shark的用户写道,“天哪,要是有某种监管机构能到位就好了,就像保障你的投资免受盗窃和欺诈那样。”![]()
Bored Ape Yacht Club, #9410, 2021,图源:OPENSEA
最后,一个权威机构确实出现了。在NFT的交易平台OpenSea的帮助下,克莱默找回了一些NFT。在最初的那个帖子发布了5个小时后,克莱默又在一条推文中写道:“更新……所有的猿都被冻结了,等待OpenSea团队的操作……吸取教训了,要使用硬钱包……”OpenSea的介入引发了很大的争议,一些人表示,如果它“冻结”了一些NFT,使它们无法在平台上出售,那么NFT就不可能真正地去中心化。也有人指出,OpenSea仅仅是冻结了用户通过某一个站点与NFT互动的功能——他们仍然可以在其他的地方做交易。随着NFT价值的不断增加,网络钓鱼诈骗也变得更加频繁。然而,有不少精明的用户通过使用硬钱包来保护自己,也被称为冷钱包,它是实体的(有点像银行的U盾),只有在插入并使用时才会连接到互联网。而克莱默使用的是一种所谓的热钱包,这种钱包一直与互联网相连,往往存在漏洞,因此更容易受到攻击。
而像这样的盗窃,其实是随着NFT的市场不断飙升而猖獗的。
比如,市场和媒体策略师迈克尔·米拉福勒(Michael Miraflor)在加密艺术的热潮中一直在收集NFT。去年3月,有人黑进了他的Nifty Gateway的账户,几分钟时间,他的NFT藏品化为乌有,再也找不回来了。“今天有人在Nifty Gateway上偷了我的NFT,在我不知情的情况下还用数字钱包购买了价值1万美元的新NFT,一并转走了。”他在推特上写道。米拉福勒被盗的NFT最初是由MLB职业艺术家迈卡·约翰逊(Micah Johnson)创建的,他的作品在加密社区中越来越出名。约翰逊曾经在一分钟内售出了价值100万美元的NFT。米拉福勒也在帖子中通知了约翰逊盗窃的事。
迈克尔·米拉福勒发文
米拉福勒日常是用Nifty Gateway来交易NFT的,当他发现被盗是因为Nifty Gateway通知他刚刚完成了一笔交易。当他登录并看到帐户空空如也时,立即意识到不对劲了。
由于记录了包括转账在内的所有交易,因此米拉福勒知道被盗的NFT发送到的2个具体帐户以及购买人信息。在冻结了他的信用卡并更改了他的Nifty Gateway密码后,米拉福勒追踪到了他的2个NFT被发送到的账户。
尽管他没有在推特帖子中透露这些账户,但米拉福勒写道,其中一个账户存放了数百个NFT,“可能也存放了其他人被盗的财产”,而另一个账户则是完全空的。米拉福勒在帖子中写道:“上帝保佑我完全恢复了我的NFT,上帝保佑我的情况可以作为一个促进安全性发展的案例来研究——为社区中的每个人。”而在米拉福勒的帖子下面有两个留言,称他们也是在近一两天被盗的用户。“今晚有人黑了我的Nifty Gateway账号,用账号上的信用卡买了价值2万美元的艺术品……”一个名为 Keyboard Monkey的用户留言。在蓬勃发展的NFT市场中,还有一种黑客抢劫的方式。人们躲在匿名的推特账户后面,通过在推特上发布艺术家的作品,然后把推文作为NFT销售。Nifty Gateway清楚地知道是谁实施了这些诈骗,但由于一些技术漏洞,黑客设法合法地实施了抢劫。2021年4月,黑客珀森从佳士得的网站上下载并伪造了Beeple的《每一天:第一个5000天》文件。对,就是那个6900万美元NFT天花板的Beeple作品。然后通过Beeple的钱包铸造了另一个铸币,在一个NFT平台上挂牌出售。
之后,珀森在自己的网站NFTheft上,发表了一篇题为《我为什么这么做》的文章,直言:“才华横溢、经验丰富的创作者无法为他们的作品提供任何可靠的保障。”,“没有任何权利或保护措施来防止他们的艺术品被盗或被误用。”
这似乎是黑客珀森的一场行为艺术,但他说的话却比他的行为更令人害怕。
在NFT越来越火爆的背后,资本快速涌入,除了价格泡沫外,参与者还会面临资产安全风险。很多人会有疑问,NFT数字作品不是锚定产权人,不可更改吗?说好的只要拥有秘钥,一件NFT所有者的事实不是谁也改变不了吗!?据业内人士告诉《链新》的消息,目前,访问艺术品的主要模式是使用URL(网络地址),而不是数字作品直接上链。
从事数字艺术品的经营的凯拉尼·尼科尔(Kelani Nichole)曾经直言:“如果哪天NFT平台的服务器宕机了,或者他们的IPFS(分布式文件存储系统,一种常见的防护措施)节点宕机了,你花很多钱买的内容将无法访问”。
去年3月,已经使用了IPFS防护措施的多位用户出现了NFT出现无法加载的情况,最终文件外流,这更加重了人们对NFT的储存方式的担忧。
既然如此,为什么不选择让数字艺术品直接上链呢?
选择智能合约URL,还是数字艺术品上链,本质上是成本问题。
以Cryptopunk为例,如果以一张图片独立上链的话,需要约600美元,是普通URL上链成本的50倍,1万张图成本就是600万美元。
据链圈专业人士介绍,尽管区块链账户号称是不可变的,但智能合约比许多人想象的更容易被窃取和伪造。事实上,个人钱包被盗事件一直很多,只是过去主要是加密货币,现在涉及的是NFT,随着近年来NFT资产的价值和流通性大幅提升,黑客们自然会在掌握受害者秘钥后将 NFT 转走套现。然而吊诡的是:NFT是一种防篡改的电子账本,对原始数字艺术进行认证和定义,还可以向艺术家提供永久的交易分成;人们基于相信制作NFT的区块链技术会带来切实好处而引发了2021年一整年的“NFT抢购潮”并带动价格一路走高。而这个价值24亿美元的新兴行业所使用的技术基础也许很差,无法实现它所给出的承诺,而且短时间还无法找到根治之策。
用户NFT数字资产被盗就是因为所属钱包秘钥被泄露或用户在不知情的情况下授权了非法转账的交易行为。
而要做到这一点,需要用户的“配合”,即用户在不知情的情况下进行了授权,可能有以下三种情况:
1.用户没能保管好秘钥,比如将秘钥信息储存在邮箱等云存储上,或是误发到社交媒体或是误贴到钓鱼网站等,也就是所谓的“秘钥触网”。例如黑客可以暴破邮箱弱口令将秘钥截获;
2、用户错误授权,黑客可利用搭建的虚假网站、虚假钱包或者构建虚假项目骗取用户授权,进而利用智能合约,在用户没有感觉的情况下盗取资产。
在 NFT 的场景,由于资产可能带有图片或视频,黑客可能通过交易网站的漏洞由恶意图片触发看似合法的授权弹窗,诱骗用户点击;
3、秘钥存储设备被入侵,这是更进阶的一种盗取秘钥的方式。任何联网的设备都可能通过钓鱼邮件,word 文件等方式被黑客安装木马。假设用户以明文方式存储秘钥或者加密口令过于简单,黑客都可能远程盗取,因此储存秘钥的设备需要即时更新安全补丁及安装防毒软件定期扫描,用冷钱包操作秘钥是更安全的做法。
行业内对于安全性的努力
要杜绝此类事件发生,除了要知道黑客们惯用手段、提高日常警惕之外,不同平台之间权责明晰也非常必要。
可是,NFT还正处于初始阶段,现有制度和人们的共识并未完善,需要时间搭建完整体系。
专业人士认为,个别用户因秘钥被盗或被钓鱼造成的 NFT 盗窃事件,目前来看主要责任在于用户自己。
而钱包方、交易平台、拍卖平台是有义务在产品使用过程中层层设防的。比如,目前Nifty Gateway平台暂未硬性要求用户启用双因素认证,不过将来有可能更改。
双因素认证是指在进行访问时,采用两种信息来认证本人身份,是一种提高安全的方法。一般是采用的密码和动态口令的组合。
在安全保障过硬的基础上,用户安全意识教育,钓鱼诈骗陷阱普及等认知教育工作也需要进一步开展。
行业当自强,现在已经有公司在研究让用户在区块链上储存大量数据来防止被黑客攻击。
被盗问题也在通过如使用生物识别技术访问,分散的安全协议等优化安全性问题。
希望漏洞是暂时的,在行业进步过程中能一点点规避。愿数字艺术市场在经历这样一个过程后,会越来越完善。
