有爆料稱，上周六，NFT 交易平臺 OpenSea 的用戶被攻擊者竊取了數(shù)百個 NFT，此事件在該網(wǎng)站廣大用戶群中引發(fā)了深夜恐慌。大約 3 個小時內(nèi)，共有 254 枚代幣被盜，Opensea 聯(lián)合創(chuàng)始人兼首席執(zhí)行官德文·芬澤（Devin Finzer）稱該網(wǎng)站目前良好，并表示“據(jù)我們所知，受影響的人是‘網(wǎng)絡(luò)釣魚攻擊’的受害者?！?

區(qū)塊鏈安全服務(wù)機構(gòu) PeckShield 編制的一份電子表格統(tǒng)計了攻擊過程中被盜的 254 枚代幣，其中包括 Decentraland 和 Bored Ape Yacht Club 的代幣。

大部分攻擊發(fā)生在美國東部時間下午 5 點至 8 點之間，目標(biāo)總共是 32 名用戶。據(jù)業(yè)內(nèi)人士估計，被盜代幣的價值超過 170 萬美元。

“他們都有有效簽名”

這次攻擊似乎利用了 Wyvern 協(xié)議的靈活性，Wyvern 協(xié)議是大多數(shù) NFT 智能合約（包括 OpenSea 上的合約）的開源標(biāo)準(zhǔn)。OpenSea CEO 德文·芬澤（Devin Finzer）在 Twitter 上從兩個方面解釋了此次攻擊：首先，目標(biāo)公司簽署了一份部分合約，獲得了一般授權(quán)，合約大部分內(nèi)容處于留白狀態(tài)。簽名到位后，攻擊者通過調(diào)用自己的合約來完成合約，該合約在不付款的情況下轉(zhuǎn)讓了 NFT 的所有權(quán)。本質(zhì)上，被襲擊目標(biāo)簽署了一張空白支票——一旦簽署，攻擊者就可以填寫支票的其余部分，并拿走他們的財產(chǎn)。

OpenSea CTO Nadav 發(fā)推表示受攻擊者均具備有效簽名

“我檢查了每筆交易，”一位名叫 Neso 的用戶說。“他們都有丟失 NFT 的有效簽名，因此，任何聲稱他們沒有被網(wǎng)絡(luò)釣魚就丟失 NFT 的說法都是站不住腳的?！?

在最近的一輪融資中，OpenSea 價值 130 億美元，已成為 NFT 熱潮中最有價值的公司之一，它為用戶提供了一個簡單的界面，可以在不直接與區(qū)塊鏈交互的情況下列出、瀏覽和競價代幣。這一成功帶來了重大的安全問題，因為該公司一直在與利用舊合約或有毒代幣竊取用戶寶貴財產(chǎn)的攻擊作斗爭。

攻擊發(fā)生時，OpenSea 正在更新其合約系統(tǒng)，但 OpenSea 否認(rèn)攻擊源自新合約。目標(biāo)數(shù)量相對較少，不太可能出現(xiàn)這種漏洞，因為更廣泛平臺中的任何漏洞都可能被更大規(guī)模地利用。

盡管如此，攻擊的許多細(xì)節(jié)仍不清楚——尤其是攻擊者用來讓目標(biāo)簽署半空合約的方法。美國東部時間凌晨 3 點前不久，Devin Finzer 在 Twitter 上寫道，這些攻擊并非源于 OpenSea 的網(wǎng)站、各種上市系統(tǒng)或該公司的任何電子郵件。攻擊的速度很快，在幾個小時內(nèi)進行了數(shù)百次交易——表明存在某種常見的攻擊媒介，但迄今為止尚未發(fā)現(xiàn)任何聯(lián)系。

NFT 頻頻出事

“NFT 正處于 ICO（首次代幣發(fā)行）階段，任何人都可以雇用藝術(shù)家來創(chuàng)造一定數(shù)量的 NFT，然后與加密領(lǐng)域的網(wǎng)紅大肆炒作?！眳^(qū)塊鏈公關(guān)公司 Light Node Media 的聯(lián)合創(chuàng)始人兼 CEO Nelson Merchan Jr. 認(rèn)為。這樣的炒作使人們很難辨別，到底誰是值得信賴的創(chuàng)作者或誰是騙子?，F(xiàn)在 NFT 收藏者和創(chuàng)作者都使用著流行的 NFT 圖片（PFP），并且在 Twitter 上匿名，這就使得騙局更難以被識破。

因此，容易受騙的并不只有新手。加密貨幣的自身投資者與收藏家身價暴跌的例子并不在少數(shù)。

常見的 NFT 騙局

過去一年中，NFT 的總價值已飆至數(shù)十億美元，成為加密貨幣行業(yè)的重要部分。一些頂級收藏品（如 Cool Cats 和 Bored Ape Yacht Club）的交易價格超過了 30,000 美元。隨著 NFT 的蓬勃發(fā)展，加密領(lǐng)域的騙局也變得越來越復(fù)雜莫測，學(xué)習(xí)如何規(guī)避它們就變得十分重要。

1、釣魚詐騙與彈窗

在購買加密貨幣前，通常需要注冊一個基于以太坊區(qū)塊鏈進行交易的錢包。MetaMask 可能是最受 NFT 收藏者歡迎的以太坊錢包。然而，MetaMask 的用戶最近成為了一個網(wǎng)絡(luò)釣魚騙局的目標(biāo)，該騙局借助虛假廣告信息，要求用戶提供私人錢包鑰匙。

或者通過 Discord、Telegram 和其他公共論壇彈出惡意虛假廣告窗口，鏈接到類似 MetaMask 或其他錢包網(wǎng)站的頁面。如果不懷好意者通過網(wǎng)絡(luò)釣魚獲得了買家的私人信息，他們便可以轉(zhuǎn)移其數(shù)字錢包中的所有加密貨幣。

2、虛假信息

NFT 的交易過程是虛擬的，所有營銷都在社交媒體上進行。因此用戶很容易被“鯰魚”（指在社交媒體上使用虛假身份的欺詐者）欺騙。許多備受歡迎的 NFT 社區(qū)通常雇用網(wǎng)紅和名人進行推廣，使得騙局真假莫辨。

如果聲稱是創(chuàng)始人、名人或網(wǎng)紅給你發(fā)了消息，請不要回應(yīng)。NFT 世界中的一條潛規(guī)則是，加密社區(qū)高層永遠(yuǎn)不會給用戶直接發(fā)送私信，除非你先私信了他們，或者你們在諸如 Twitter 或 Discord 的公共平臺上就某件事看法一致。

3、拋售圈套

在加密貨幣和 NFT 領(lǐng)域，拋售圈套已經(jīng)成為了一種現(xiàn)象。當(dāng)一個 NFT 項目擁有了更多買家，就有了更多流動性，賠率就會變小。一部分人故意買下一堆 NFT 或者加密貨幣，人為地推動需求大幅上升。一旦成功，騙子就會在價格高漲時套現(xiàn)，只把毫無價值的資產(chǎn)留給其他買家。

某收藏者稱，“如果一個項目中，5000 個 NFT 被 20 個頂級收藏者控制了，并且他們都沒有要出售它們的意思，那么其他想要買入該系列藏品的人，都必需以非常高的底價買入。”

4、競價騙局

競價騙局主要發(fā)生在二級市場上。購買了 NFT 后，你會想要將它轉(zhuǎn)賣給出價最高的人。當(dāng)你公開銷售 NFT 的時候，競標(biāo)者可能會在不告知你的情況下，調(diào)換所使用的貨幣。很可能原本以 5ETH 出售的 NFT，最后以 5 美元的價格成交。因此，請仔細(xì)檢查交易時所使用的貨幣種類，不要接受低于你預(yù)期的出價。

5、贗品 NFT

OpenSea 具有適合新手操作的易用性，因此任何人都可以將任意照片或圖像變成 NFT，即便他們不擁有該圖像的知識產(chǎn)權(quán)。騙子很容易就能竊取藝術(shù)家的作品，注冊假冒的 OpenSea 賬戶，拍賣假的藝術(shù)品。將一件藝術(shù)品鑄成 NFT 并不等于擁有它的知識產(chǎn)權(quán)（IP）所有權(quán)。

在購買 NFT 之前，請做好調(diào)查，確保自己是從正規(guī)賬戶購買藝術(shù)品。這些正規(guī)賬戶通常會具有藍(lán)色的認(rèn)證標(biāo)志。

6、缺乏認(rèn)證的儲存網(wǎng)站

買家購買的 NFT 可能會消失不見，因為基于區(qū)塊鏈（NFT）的合約與實際的藝術(shù)品是不同的。假如你把原創(chuàng)音樂以 MP3 格式上傳到了 OpenSea 一類的平臺上，如果收藏者想購買它，就會用 ether 進行支付，這樣，一種被稱為“智能合約”的所有權(quán)記錄就被創(chuàng)造了出來。

要將藝術(shù)品、房契或其他涉及到智能合約的內(nèi)容儲存在一個去中心化的平臺，請確認(rèn)這個平臺是可信賴的。請不要購買僅僅鏈接到一個帶有圖片的 URL 的 NFT。因為該 URL 上存儲的頁面或藝術(shù)品可以在未經(jīng)你允許的情況下隨時更改。

避開 NFT 騙局的有效方式

此外，這里還整理了一些防范騙局的基本操作，可以幫 NFT 玩家將投資風(fēng)險降至最低。

1、保管好私人密鑰

騙子會在 Discord 鏈接中索要用于鑄造 NFT 的加密貨幣，得到之后就會卷錢溜掉，因此不要把自己的密鑰發(fā)給任何人。在 Twitter 和電子郵件中，騙子也會索要密鑰。專家建議人們購買冷錢包，比如 Ledger 和 Trezor 這類可以插在電腦上的固態(tài) USB，它們比線上存儲更加安全。采用冷錢包就不用把助記詞輸入瀏覽器了，從而能夠更好保護自己。當(dāng)然你也可以采用雙向驗證，設(shè)置更復(fù)雜的密碼。

2、關(guān)閉 Discord 私聊

專家建議人們最好直接關(guān)閉 Discord 的私聊功能。另外，當(dāng)你需要幫助的時候，最好的辦法是聯(lián)系 NFT 交易網(wǎng)站的客服，而不是社區(qū)中的其他人。如果騙子獲得了管理員權(quán)限，就可以在公告頻道發(fā)布虛假鑄幣鏈接，描述得就像天上掉餡餅一樣。比如：“鑒于大量的公眾需求，我們將發(fā)放一千余個 NFT”等等，多數(shù)情況下，騙子故意用已售出的藏品行騙。但是真正的項目會通過指定渠道公布動態(tài)。

3、警惕空投

騙子可能會空投虛假代幣給你。虛假代幣經(jīng)常會空投到自己的線上錢包里。代幣以網(wǎng)頁鏈接的形式命名，誘導(dǎo)用戶進入釣魚網(wǎng)站。任何人都可以隨時隨地向任意用戶發(fā)送代幣，而錢包是被動接收的，就像電子郵件的收件箱一樣，最好的辦法就是無視它。

但虛假空投也起到一定的篩選作用，如果騙子用沒有價值的收藏品創(chuàng)建了項目，并空投到用戶的錢包里，用戶就可以辨別出這個項目是有水分的。

寫在最后

NFT 可謂能確權(quán)一切。以區(qū)塊鏈為基礎(chǔ)，NFT 在不可篡改、公開透明、可溯源的特點上，增加了獨一無二的特性。天然的收藏屬性使其首先得以與藝術(shù)品掛鉤，但也可映射房產(chǎn)、土地、汽車等實物，甚至是虛擬資產(chǎn)。但任何新技術(shù)的發(fā)展都有一個由粗到細(xì)的發(fā)展歷程。就安全方面，目前 NFT 已經(jīng)出現(xiàn)了版權(quán)、重復(fù)銷售、失竊和存儲等問題，入局玩家不得不防。