【虎視耽耽】備受追捧嘅 NFT 成為黑客目標!
比特幣近月的爆升潮,令加密貨幣再度成為熱話,不過在藝術圈流行的相關術語,卻是 NFT。NFT 全名 Non-fungible Tokens,它可以是任何形式數碼商品,最易理解的 NFT,是由 NBA Top Shot 推出的 Moment,影片是球員在生涯中最精彩三分球、灌籃、助攻等剪輯而成,由 NBA 授權,並以傳統球星卡包方式發售,買家隨機獲得幾位球星的 Moment。Lebron James 的 Cosmic Dunk Moment,就以超過 20 萬美元在二手市場成交,而更哄動的 NFT 是 Twitter 創辦人 Jack Dorsey 將 2016 年所發的全球第一條 Tweet,轉換成區塊鏈所生成的代碼,在 NFT 交易平台拍賣價已超過 2.5 百萬美元。最近 Christie’s 首次舉行 NFT 網上拍賣,由 Digital Artist Beeple 創作的 JPG 藝術品 《Everydays:The First 5000 Days》,以 69,346,259 美元成交,打入史上最貴藝術品公開成交價第 3 位,一夜間 Beeple 身價與 Jeff Koons 和 David Hockney 看齊。
NFT 有專屬的交易平台 Marketplace,龍頭之一 Nifty Gateway,最近多名用戶投訴帳戶被盜用,黑客不單擅自在 Discord 和 Twitter 轉售帳戶內的 NFT,還會利用帳戶下單交易過萬美元商品快速轉售,再將加密貨幣轉移至所控制的電子錢包。Twitter 上報稱損失最多的一名用戶,聲稱有 15 件 NFT 被轉售,損失近 15 萬美元。除此之外,黑客同時盜竊客戶信用卡資料,購買如 2 萬美元的藝術品。有用戶發現後立即更改密碼,但黑客依然能夠操作帳戶。然而 Nifty Gateway 斷言平台系統沒有任何被黑痕跡,而聲稱被黑的帳戶,均沒有使用 2FA。Nifty Gateway 進一步推測,黑客可能從其他途徑獲取登入帳戶資料,並強烈建議用戶切密重複使用密碼,立即使用 2FA。
上述事件雖然只是尋常不過的 Account Takeover,但自從《Everydays:The First 5000 Days》以近 7 千萬美元成交後,NFT 不單成為熱話,投資者與黑客均留意到它的潛在價值,希望可以大賺一筆。投資者與收藏家在對賭 NFT 是獨特還是泡沫,黑客方面,雖然 NFT 的 Blockchain 特性加大非法轉售難度,但亦因其獨特性而增加收藏價值。除此之外,資安界還發現有駭客將入侵工具標為藝術品,在 NFT 另一個 Marketplace OpenSea 公開發售,掀起到底 NFT 應否受到限制甚至睢監管。資安平台 Hacker House 的共同創辦人之一 Matthew Hickey 指,OpenSea 放售的 NFT,針對第一身射擊遊戲 ioquake3 引擎漏洞,該 NFT 一經發動,就會向平台發動 DDoS。Hickey 第一時間向 OpenSea 反映,官方沒有正面回覆,但 Hickey 在 Twitter 發文後,已經無法在 OpenSea 找回該 NFT。
Hickey 表示,NFT 發展還在起步階段,這個革新性概念,在資安範疇還有很多可能性。「我不認為限制 NFT 的商品形式是正確的,而它的未來發展,應該由現在幾個交易平台壟斷的中心化,過渡到 P2P 交易的去中心化,才合符 Blockchain 理念,但要慎防它被壞人惡意利用。