價格不菲的「無聊猿」是無聊猿遊艇俱樂部 (BAYC) 推出的1萬隻各有獨特表情的猿猴NFT作品，竄紅之後,很多網友跟風把社群帳號頭像換成了「無聊猿」,還調侃說自己省了18萬美元。周杰倫在今年愚人節之前也有一隻黃立成送他的無聊猿,但在4 月1 日當天卻被偷了,起因於一條網路釣魚連結!這事件給 NFT 玩家什麼啟示?本文剖析事件流程,也給 NFT 玩家一些資安建議。

一張隨時都能免費下載的圖片,有可能比真跡還貴嗎？過去看來也許這是個笑話,但經過 NFT（Non-Fungible Token,非同質化代幣） 認證的數位作品,正以稀有性顛覆傳統藝術價值。

有人用 9.5 萬美元買下名畫,燒掉再4 倍價賣出數位版,夠瘋狂吧?一個名為「白痴」（Morons）的畫作上面寫著:「我真不敢相信你們這群白痴真的會買這個」,用以諷刺了1987年拍賣梵谷向日葵創紀錄的銷售歷史。今年3 月一家區塊鏈公司經過激烈角逐買下「白痴」之後，在直播中燒燬它，但隨後以 NFT形式拍賣，競價最高者花費了 38 萬美元買下了它。

 

許多人對 NFT （Non-Fungible Token,非同質化代幣） 躍躍欲試，期望也可以一夜暴利致富,但獲利越高、風險越大，也可能血本無歸。 NFT 使用者除了只透過正式的通路與合法對象進行交易之外,養成良好的網路資安習慣也是防範威脅的一項重要關鍵。

趨勢科技觀察 2021年下半年在全球總計已偵測逾65萬筆與NFT投資詐騙相關的惡意連結，台灣偵測數量高達5.3萬筆，占全球總偵測數量的8％，顯見NFT投資詐騙，已經成最新的行騙犯罪工具之一。本文將剖析周杰倫「無聊猿」NFT 遭駭事件,提醒NFT 新手該知道防盜三件事。

周杰倫 NFT 詐騙案件全解析

 

4月1日這天周杰倫在Instagram上發文,無奈地表示他的編號3738無聊猿NFT被網路釣魚偷走了:

「我朋友為了幫我mint黃立成大哥的新項目，結果大哥送我的猴子被釣魚網站偷了 我以為愚人節在跟我開玩笑…..結果去查看，真的沒了…」( 註:「mint 」意指鑄幣、打造 NFT）

周杰倫口中的猴子, 就是有「NFT 之王」之稱.當今價格最高的 NFT 收藏品:無聊猿（Bored Ape Yacht Club）, 今年一月的地板價正式突破100 枚以太幣(ETH) (約 26 萬美金)。

該 NFT 隨即在交易平台上多次高價轉手，先後以133以太幣（約1240萬元台幣）、155以太幣（約1400萬元台幣）交易。除此之外，我們還發現了至少還有其他四位受害者，以及其他被詐騙的NFT，在當時總價值超過三百以太幣(三千萬台幣)，本篇文章將會深入探討駭客的手法法,並提醒 NFT 玩家如何自保。

事發過程:從一條無聊猿官方論壇discord的釣魚網址開始

下面圖表描述了周杰倫 NFT 遭詐騙事件的整個過程

⚠1.駭客入侵無聊猿官方論壇discord並放上釣魚網址

⚠2.周杰倫的帳號持有者看到此網址前往釣魚網站

⚠3.周杰倫的帳號持有者以為可以 mint(鑄) NFT，所以核准了錢包的交易

⚠4.駭客藉由周杰倫的核准．取得周杰倫的無聊猿 NFT 權限

⚠5.駭客將 NFT 轉到自己帳號並賣出，共得手169以太幣

我們在鏈上可以看到在交易編號0x16c49cdd40d8be8e3e96e0a99c5892eb6b23330521e125396e646b5dcb746802，駭客把編號3738無聊猿NFT從周杰倫帳號轉走

 

 

 

駭客如何取得周杰倫 NFT 的權限?

 

駭客是如何得到 NFT 的權限呢?其實是由周杰倫的帳號自行授權的，推測使用者以為是在鑄新的NFT,但其實呼叫的是授權NFT權限的API setApprovalForAll
由下圖可知周杰倫帳號多次呼叫授權API

 

 

 

除了周杰倫外，駭客還從其他兩個使用者另外得手了編號16500變異猿以及編號725編號768的Doodles

 

 

 

駭客將NFT在市場上賣出並匯169以太幣給地址0x6e85c36e75dc03a80f2fa393055935c7f3185b15，該帳號將以太幣匯入混幣器躲避追蹤

 

 

 

除此之外此駭客的兩個上游錢包也盜走了多個NFT，包含了編號9481以及9672無聊猿，和編號6297的clone X，這些NFT在opensea 交易平台上皆已被打上suspicious activity的標籤

 

 

 

周天王被駭後,NFT 新手該知道防盜三件事

 

1.不要輕易相信網路上的連結

• 不要直接用google關鍵字來找NFT網站，有些詐騙網站會買廣告讓自己出現在搜索的第一項，盡量藉由可信任的第三方NFT網站連到NFT網站或是discord，比如説opensea就會放上項目的相關網址
• NFT的項目方通常會在discord開啟offical-links頻道放上自己的官網連結，出現在這個頻道以外的link不要輕易相信

📌2.錢包授權時請再三確認

• 鑄NFT時對象應該是智能合約而非個人錢包，可以去地址查詢網站(比如 etherscan)查找你要交易的對象是否為智能合約
• 請確認你要呼叫的智能合約API
  • 請勿隨意簽署 setApprovalForAll 授權給任何你不認識的錢包，否則對方會得到權限並有可能轉走你的NFT
  • 如果簽署時你的錢包顯示sending eth而沒有其他API名稱，代表你只是傳送以太幣給對方 並不是在鑄NFT

📌3.使用趨勢科技PC-cillin 來多加一層保護，輕鬆管理你的網路安全和隱私
跨平台的PC-cillin 透過最新網頁偵測技術，自動封鎖惡意網頁及詐騙網址，在接觸到可疑詐騙網址前搶先攔阻，大幅減少個資外洩及錢財損失的風險！ >> 立即免費下載試用