“良心”駭客偷走了並出售了我的NFT，只留下10%的資產作為“困難費”

原文 | Odaily

作者 | 丈夫如何

編輯 | 秦曉峰

近日，兩起針對NFT協定合約的惡意攻擊引發市場關注——NFT交易員和地板協議分別於16日和17日被駭客入侵，經Odaily審核。

鏈上信息顯示，12 月 16 日，37 個 BAYC 和 13 個 MAYC 被轉移到一個特定位址，NFT Trader 涉嫌受到攻擊。 隨後，NFT 鯨魚丁加林發佈 NFT 交易者的批量掉期合約遭到攻擊。

攻擊的消息很快得到了 NFT 交易者的證實。 據官方統計，駭客對兩個舊的智能合約**進行了惡意代碼攻擊，導致37個BAYC和13個MAYC被盜，總損失約400萬美元。 **

根據過往經驗，後續的故事情節要麼是專案組承認賠償使用者不走運，要麼是專案組與駭客協商退款。 這一次，駭客非常自覺，直接越過了與專案方溝通的流程，直接轉售被盜的NFT，留下部分資金作為“賞金”。

有駭客在鏈條上留言說這次不是攻擊者，並透露原來的攻擊者是尾號為“bd46”的位址，並嘲笑自己只是在後面“撿垃圾”。 同時，駭客還表示，他只需要 10% 的賞金即可歸還 NFT，並計算出每個 BAYC 30 ETH和 MAYC 6 ETH的金額。 之後，駭客以 35 ETH的價格在 Blur 中出售了一個 BAYC，為自己留下了 4 ETH，並將剩餘的ETH歸還給 NFT 持有者。

這聽起來像是一個“盡職盡責”的駭客出售受害者的 NFT 的故事，只拿賞金，然後將其餘部分歸還給受害者，但這並不能原諒它。

很快，有一位使用者提供了一種恢復被盜 NFT 的方法。 @0xQuit發文稱，通過對駭客手中NFT位址的分析，多個NFT位址已經授權了NFT Trader，駭客手中的NFT可以通過反向檢索進行檢索。

這種方法也得到了專案組的認可，被盜資產被成功追回。 由 ApecoinDAO 資助的安全非營利組織 Boring Security 發佈稱，被盜的 36 BAYC 和 18 MAYC 已被追回（部分被盜的已被出售），並將向駭客提供 10% 的賞金，NFT 將免費退還給受害者。

至此，NFT Trader的NFT盜竊事件已經暫時告一段落，受害者的損失並不大。 就在 NFT 交易者事件結束前幾個小時，另一個 NFT 協定地板協定也遭到駭客攻擊。

代表創始人foobar在X平臺上發帖稱，14隻BAYC和36隻矮胖企鵝從地板協定中被盜。 隨後駭客們以遠低於底價的價格在Blur上展開了“甩賣”，BAYC掛牌2.62 ETH，矮胖企鵝掛牌9.2 ETH，總計近168萬美元，全部進了駭客的口袋。

雖然地板協定和 NFT 交易者都受到了攻擊，但受害者的情況卻大不相同，只能說 NFT 交易者的受害者是幸運的。 但短短兩天，接二連三的盜竊案，應該還是給大家敲響了警鐘。

SlowMist 的創始人 Cosine 提醒我們：「如果每個人都在 EVM 鏈中擁有重要資產，並且檢查和取消重要資產的授權（尤其是無限許可證），沒有人可以 100% 確定無論協定多麼知名，都不會有安全問題。 "

*Odaily提醒大家不要點擊任何不熟悉的連結，並定期清理錢包授權。 *