原创 | Odaily星球日报
作者 | 夫如何
编辑 | 秦晓峰
近期,两起针对 NFT 协议合约的恶意攻击受到市场关注——NFT Trader 和 Flooring Protocol 分别于 16 日以及 17 日受到黑客攻击,Odaily星球日报对此进行了回顾。
链上信息显示, 12 月 16 日, 37 枚 BAYC 及 13 枚 MAYC 被转入一特定地址,NFT Trader 疑似被攻击。随后 NFT 巨鲸 dingaling 发文称,NFT Trader 的 Batch Swap 合约遭到攻击。
攻击消息很快得到 NFT Trader 证实。官方称,黑客针对两个旧智能合约进行恶意代码攻击,导致 37 枚 BAYC 及 13 枚 MAYC 被盗走,共计损失约 400 万美金。
按照过往经验,后续的故事情节要不然是项目方自认倒霉赔偿用户,要不然是项目方与黑客商量退款。而这次的黑客非常有觉悟,直接跨过了与项目方沟通的流程,直接倒卖了盗窃所得 NFT 并留下部分资金作为“赏金”。
一位黑客在链上留言称,表示自己并非本次的攻击者,并透露最初攻击者是尾号“bd46”的地址,自嘲自己只是在后面“捡垃圾”。同时该黑客还表示,自己只需要 10% 赏金,就可以归还 NFT,并以每个 BAYC 30 ETH 和 MAYC 6 ETH 计算金额。此后,黑客将一个 BAYC 在 Blur 中出售获得 35 ETH,自己留下了 4 ETH,剩余的 ETH 还给了 NFT 持有者。
听起来这像是“有良心”黑客的故事——卖受害者 NFT,只拿走赏金,剩余再还给受害者,但这并不能成为为其开脱的理由。
很快,就有用户提供了一个找回被盗 NFT 的方法。@0xQuit 发文称,通过对黑客手中 NFT 的地址分析,多个 NFT 地址对 NFT Trader 授权,通过逆向找回的方式,可以黑客手中的 NFT 再拿回来。
该方法也得到项目方的认可,最终成功追回被盗资产。ApecoinDAO 所资助的安全公益组织 Boring Security 发文表示,被盗的 36 个 BAYC 和 18 个 MAYC 已经找回(部分被盗的已经出售),将向黑客提供 10% 的赏金,并将 NFT 免费送还给受害者。
至此,NFT Trader 的 NFT 被盗事件暂时画上了一个句号,受害者损失并不大。就在 NFT Trader 事件结束前几个小时,另外一个 NFT 协议 Flooring Protocol 也遭遇黑客攻击。
Delegate 创始人 foobar 在 X 平台发文表示,Flooring Protocol 被盗走了 14 个 BAYC 和 36 个 Pudgy Penguins。随后黑客在 Blur 以远低于地板价的价格开始“甩卖”,BAYC 上架价格为 26.2 ETH, Pudgy Penguins 上架价格为 9.2 ETH,共计获得近 168 万美元,全部进入黑客口袋。
Flooring Protocol 和 NFT Trader 虽然都是受到了攻击,但受害者的处境却天差地别,只能说 NFT Trader 的受害者是幸运的。但短短两天接连被盗事件,还是应该为大家敲响了警钟。
慢雾创始人余弦在提醒称:”如果大家在 EVM 链有重要资产,检查与取消重要资产的授权(尤其是无限授权),没人可以 100% 肯定再知名的协议不会出安全问题。“
Odaily星球日报提醒大家,不要轻易点击任何陌生链接,定期清理钱包授权。
