“良心”黑客盜賣我的NFT,只留下10%資產作為“辛苦費”
原創- Odaily
作者- 夫如何
編輯- 秦曉峰

近期,兩起針對NFT 協議合約的惡意攻擊受到市場關注——NFT Trader 和Flooring Protocol 分別於16 日以及17 日受到駭客攻擊,Odaily對此進行了回顧。
鏈上資料顯示, 12 月16 日, 37 枚BAYC 及13 枚MAYC 被轉入一特定地址,NFT Trader 疑似被攻擊。隨後NFT 巨鯨dingaling 發文稱,NFT Trader 的Batch Swap 合約遭到攻擊。

攻擊消息很快就得到NFT Trader 證實。官方稱,駭客針對兩個舊智慧合約進行惡意程式碼攻擊,導致37 枚BAYC 及13 枚MAYC 遭盜走,共損失約400 萬美金。

依照過往經驗,後續的故事情節不然是專案方自認倒楣賠償用戶,不然是專案方與駭客商量退款。而這次的駭客非常有覺悟,直接跨過了與專案方溝通的流程,直接倒賣了盜竊所得NFT 並留下部分資金作為「賞金」。
一位駭客在鏈上留言稱,表示自己並非本次的攻擊者,並透露最初攻擊者是尾號「bd46」的地址,自嘲自己只是在後面「撿垃圾」。同時駭客也表示,自己只需要10% 賞金,就可以歸還NFT,並以每個BAYC 30 ETH 和MAYC 6 ETH 計算金額。此後,駭客將一個BAYC 在Blur 中出售獲得35 ETH,自己留下了4 ETH,剩餘的ETH 還給了NFT 持有者。

聽起來這像是「有良心」駭客的故事──賣受害者NFT,只拿走賞金,剩餘再還給受害者,但這並不能成為為其開脫的理由。
很快,就有用戶提供了一個找回被盜NFT 的方法。 @0xQuit 發文稱,透過對黑客手中NFT 的地址分析,多個NFT 地址對NFT Trader 授權,通過逆向找回的方式,可以黑客手中的NFT 再拿回來。

此方法也得到專案方的認可,最後成功追回被盜資產。 ApecoinDAO 所資助的安全公益組織Boring Security 發文表示,被盜的36 個BAYC 和18 個MAYC 已經找回(部分被盜的已經出售),將向駭客提供10% 的賞金,並將NFT 免費送還給受害者。
至此,NFT Trader 的NFT 被竊事件暫時畫上了一個句號,受害者損失並不大。就在NFT Trader 事件結束前幾個小時,另外一個NFT 協定Flooring Protocol 也遭遇駭客攻擊。
Delegate 創始人foobar 在X 平台發文表示,Flooring Protocol 被偷走了14 個BAYC 和36 個Pudgy Penguins。隨後黑客在Blur 以遠低於地板價的價格開始“甩賣”,BAYC 上架價格為26.2 ETH, Pudgy Penguins 上架價格為9.2 ETH,共計獲得近168 萬美元,全部進入黑客口袋。

Flooring Protocol 和NFT Trader 雖然都是受到了攻擊,但受害者的處境卻天差地別,只能說NFT Trader 的受害者是幸運的。但短短兩天接連被竊事件,還是應該為大家敲響了警鐘。
慢霧創始人餘弦在提醒稱:”如果大家在EVM 鏈有重要資產,檢查與取消重要資產的授權(尤其是無限授權),沒人可以100% 肯定再知名的協議不會出安全問題。“
Odaily提醒大家,不要輕易點擊任何陌生鏈接,定期清理錢包授權。


