價格不菲的「無聊猿」是無聊猿遊艇俱樂部 (BAYC) 推出的1萬隻各有獨特表情的猿猴NFT作品,竄紅之後,很多網友跟風把社群帳號頭像換成了「無聊猿」,還調侃說自己省了18萬美元。周杰倫在今年愚人節之前也有一隻黃立成送他的無聊猿,但在4 月1 日當天卻被偷了,起因於一條網路釣魚連結!這事件給 NFT 玩家什麼啟示?本文剖析事件流程,也給 NFT 玩家一些資安建議。
一張隨時都能免費下載的圖片,有可能比真跡還貴嗎?過去看來也許這是個笑話,但經過 NFT(Non-Fungible Token,非同質化代幣) 認證的數位作品,正以稀有性顛覆傳統藝術價值。
有人用 9.5 萬美元買下名畫,燒掉再4 倍價賣出數位版,夠瘋狂吧?一個名為「白痴」(Morons)的畫作上面寫著:「我真不敢相信你們這群白痴真的會買這個」,用以諷刺了1987年拍賣梵谷向日葵創紀錄的銷售歷史。今年3 月一家區塊鏈公司經過激烈角逐買下「白痴」之後,在直播中燒燬它,但隨後以 NFT形式拍賣,競價最高者花費了 38 萬美元買下了它。
許多人對 NFT (Non-Fungible Token,非同質化代幣) 躍躍欲試,期望也可以一夜暴利致富,但獲利越高、風險越大,也可能血本無歸。 NFT 使用者除了只透過正式的通路與合法對象進行交易之外,養成良好的網路資安習慣也是防範威脅的一項重要關鍵。
趨勢科技觀察 2021年下半年在全球總計已偵測逾65萬筆與NFT投資詐騙相關的惡意連結,台灣偵測數量高達5.3萬筆,占全球總偵測數量的8%,顯見NFT投資詐騙,已經成最新的行騙犯罪工具之一。本文將剖析周杰倫「無聊猿」NFT 遭駭事件,提醒NFT 新手該知道防盜三件事。
周杰倫 NFT 詐騙案件全解析
4月1日這天周杰倫在Instagram上發文,無奈地表示他的編號3738無聊猿NFT被網路釣魚偷走了:
「我朋友為了幫我mint黃立成大哥的新項目,結果大哥送我的猴子被釣魚網站偷了 我以為愚人節在跟我開玩笑…..結果去查看,真的沒了…」( 註:「mint 」意指鑄幣、打造 NFT)
周杰倫口中的猴子, 就是有「NFT 之王」之稱.當今價格最高的 NFT 收藏品:無聊猿(Bored Ape Yacht Club), 今年一月的地板價正式突破100 枚以太幣(ETH) (約 26 萬美金)。
該 NFT 隨即在交易平台上多次高價轉手,先後以133以太幣(約1240萬元台幣)、155以太幣(約1400萬元台幣)交易。除此之外,我們還發現了至少還有其他四位受害者,以及其他被詐騙的NFT,在當時總價值超過三百以太幣(三千萬台幣),本篇文章將會深入探討駭客的手法法,並提醒 NFT 玩家如何自保。
事發過程:從一條無聊猿官方論壇discord的釣魚網址開始
下面圖表描述了周杰倫 NFT 遭詐騙事件的整個過程
⚠1.駭客入侵無聊猿官方論壇discord並放上釣魚網址
⚠2.周杰倫的帳號持有者看到此網址前往釣魚網站
⚠3.周杰倫的帳號持有者以為可以 mint(鑄) NFT,所以核准了錢包的交易
⚠4.駭客藉由周杰倫的核准.取得周杰倫的無聊猿 NFT 權限
⚠5.駭客將 NFT 轉到自己帳號並賣出,共得手169以太幣
我們在鏈上可以看到在交易編號0x16c49cdd40d8be8e3e96e0a99c5892eb6b23330521e125396e646b5dcb746802,駭客把編號3738無聊猿NFT從周杰倫帳號轉走
駭客如何取得周杰倫 NFT 的權限?
駭客是如何得到 NFT 的權限呢?其實是由周杰倫的帳號自行授權的,推測使用者以為是在鑄新的NFT,但其實呼叫的是授權NFT權限的API setApprovalForAll
由下圖可知周杰倫帳號多次呼叫授權API
除了周杰倫外,駭客還從其他兩個使用者另外得手了編號16500變異猿以及編號725編號768的Doodles
駭客將NFT在市場上賣出並匯169以太幣給地址0x6e85c36e75dc03a80f2fa393055935c7f3185b15,該帳號將以太幣匯入混幣器躲避追蹤
除此之外此駭客的兩個上游錢包也盜走了多個NFT,包含了編號9481以及9672無聊猿,和編號6297的clone X,這些NFT在opensea 交易平台上皆已被打上suspicious activity的標籤
周天王被駭後,NFT 新手該知道防盜三件事
1.不要輕易相信網路上的連結
- 不要直接用google關鍵字來找NFT網站,有些詐騙網站會買廣告讓自己出現在搜索的第一項,盡量藉由可信任的第三方NFT網站連到NFT網站或是discord,比如説opensea就會放上項目的相關網址
- NFT的項目方通常會在discord開啟offical-links頻道放上自己的官網連結,出現在這個頻道以外的link不要輕易相信
📌2.錢包授權時請再三確認
- 鑄NFT時對象應該是智能合約而非個人錢包,可以去地址查詢網站(比如 etherscan)查找你要交易的對象是否為智能合約
- 請確認你要呼叫的智能合約API
- 請勿隨意簽署 setApprovalForAll 授權給任何你不認識的錢包,否則對方會得到權限並有可能轉走你的NFT
- 如果簽署時你的錢包顯示sending eth而沒有其他API名稱,代表你只是傳送以太幣給對方 並不是在鑄NFT
📌3.使用趨勢科技PC-cillin 來多加一層保護,輕鬆管理你的網路安全和隱私
跨平台的PC-cillin 透過最新網頁偵測技術,自動封鎖惡意網頁及詐騙網址,在接觸到可疑詐騙網址前搶先攔阻,大幅減少個資外洩及錢財損失的風險! >> 立即免費下載試用
