NFT安全

Spade_sec
更新于 2024-05-08 14:56
阅读 178

过去曾发生过多起NFT的黑客攻击和漏洞利用事件，NFT用户需要意识到这些风险并采取措施保护他们的资产。本文涵盖了NFT的概念，NFT的运作原理，NFT生态系统中存在的漏洞，以及我们如何保护我们的NFT。

# 什么是NFT
NFT是指非同质化代币（ERC721），是一种代表现实世界对象的数字资产，如艺术品、音乐、游戏道具和视频。我们将NFT存储在公开可访问的以太坊或其他任何区块链上。与其他ERC20代币相比，NFT无法等价交易或交换，因为这些代币是唯一的。

# NFT生态系统的运作
NFT的所有权记录在区块链上，并可以由所有者转移，允许NFT进行销售和交易。整个生态系统首先由创作者发起。他们创作数字资产，如艺术品、图片、视频等。创作者将数字内容上传到托管服务，以便公开展示。当他们铸造或创建一个NFT时，他们执行存储在智能合约中的代码，符合不同的标准，如ERC-721。此信息被添加到区块链中，其中NFT正在被管理。

接着，卖家和买家将在NFT交易平台上拍卖和交易他们的NFT。买家签署交易后，平台将交易记录写入区块链，包括金额的转移和艺术品的所有权。
![image.png](https://img.learnblockchain.cn/attachments/2024/05/0oNUN8VA663b1e65571dc.png)
# NFT安全问题：

1. 智能合约漏洞：
NFT的核心是智能合约，因此，它像其他智能合约一样容易受到恶意攻击，包括重入攻击、整数溢出、访问控制缺陷等。NFT智能合约可能存在的最常见漏洞是访问控制漏洞、重入攻击等。

2. 市场漏洞：
NFT市场的漏洞可能对NFT本身构成危险。甚至可能导致NFT被盗。曾经，OpenSea遭受了攻击，攻击者能够以旧价购买NFT。由于这个漏洞，几个用户能够以远低于代币市场价值的价格购买宝贵的NFT。

3. 存储问题：如果NFT的元数据存储在离线状态下，如果离线网络出现问题，链接本身将无用，NFT将不再可用。集中式离线网络应用程序和存储系统仍然面临传统的DoS攻击风险，从而拒绝向NFT系统提供服务。

4. 社交媒体黑客：
最近，攻击者正在瞄准这些NFT项目的社交媒体（Discord/Twitter）账户。攻击者通常使用钓鱼、社会工程学、机器人等技术来入侵这些账户。在攻击服务器后，他们可以欺骗用户将钱包连接到他们的恶意网站，从而窃取NFT。

5. NFT欺诈和钓鱼：
通常，钓鱼是黑客获取您NFT账户信息的方法。他们经常使用电子邮件或知名社交媒体网站和论坛（如Twitter和Discord）来分发用于此目的的欺诈性URL。一旦您点击链接并提交信息，黑客就可以通过键盘记录或其他攻击软件接管您的账户并入侵它。

6. 交易中的市场操纵：
NFT市场可以通过多种方式被操纵。一些常见的市场操纵形式包括洗盘交易、抬高然后抛售计划、名人代言等。恶意行为者经常使用以上技术来提高NFT的价格，并为了利润而将其抛售。

7. 私钥/助记词泄露：
NFT所有权通过私钥管理，私钥是特定数字钱包中所有资产的哨兵。如果您的私钥泄露，任何拥有私钥访问权的人可能会从数字钱包中窃取您的NFT并将其出售。因此，将私钥存储在安全位置非常重要。

# NFT黑客案例研究：
1. Lympo：2022年1月10日，体育NFT铸造平台Lympo遭受了一次黑客攻击，导致失去了1652万个LMT代币，即在攻击发生时价值1870万美元。攻击的主要原因是热钱包的私钥泄露，这使得攻击者能够控制NFT并窃取它。

2. Bored Ape Yacht Club：2022年4月，骗子从Bored Ape Yacht Club收藏的开发者那里窃取了代币。盗窃是通过入侵开发者的Instagram账户来实现的。在这次黑客攻击中，总共窃取了价值1370万美元的NFT。

3. Open Sea NFT市场：2022年2月，NFT市场OpenSea的用户成为了钓鱼攻击的受害者。攻击者设法从被利用的用户那里窃取了1200个ETH，后来以170万美元的价格出售。
# 用户如何保护他们的NFT安全？

![image.png](https://img.learnblockchain.cn/attachments/2024/05/2aGOVntR663b205814f51.png)

1. 尽职调查：在投资任何NFT项目之前，用户应进行自己的尽职调查。通常，尽职调查包括分析以下基本细节：

* 项目创始人的个人资料和背景
  * 项目的社交媒体账户，如Twitter、Discord等
  * NFT的价格、供应和稀缺性
  * NFT的实用性
  * 检查项目是否已经接受审计

2. 在声誉良好且安全的市场交易NFT：对于许多NFT交易者来说，安全性是一个重要考虑因素，尤其是鉴于已经发生过几起备受关注的平台黑客攻击事件。因此，尽量在声誉良好且安全的NFT市场进行交易。

3. 永远不要盲目签署NFT交易：在确认交易之前，始终检查智能合约中的权限详情。许多黑客会将他们的行为伪装成智能合约的形式，从而使他们未经授权地访问您钱包中的资金。

4. 只与官方渠道、Twitter账户和链接互动：始终限制您的Telegram、Discord和电子邮件接收来自陌生人和非官方地址的消息。首先使用该[链接](https://www.makeuseof.com/tag/4-quick-sites-that-let-you-check-if-links-are-safe/)检查网站，这将告诉您该网站是否合法。

5. 永远不要与任何人分享您的助记词或钱包私钥：如果您向任何人透露您的助记词或私钥，他们将能够访问您的数字资产。任何拥有您的私钥/助记词访问权限的人都可以窃取您所有的代币和NFT。

6. 启用认证方法/**2FA**认证以防止社交账户被黑客攻击：有许多情况下，这些NFT项目的社交媒体账户，如Discord和Twitter，会被黑客攻击，黑客利用被攻破的账户谋取私利。

# 总结
如果您需要任何智能合约（包括但不限于NFT）审计服务，或者咨询服务，请联系我们，我们将提供专业且极具性价比的审计服务！

什么是NFT

NFT是指非同质化代币（ERC721），是一种代表现实世界对象的数字资产，如艺术品、音乐、游戏道具和视频。我们将NFT存储在公开可访问的以太坊或其他任何区块链上。与其他ERC20代币相比，NFT无法等价交易或交换，因为这些代币是唯一的。

NFT生态系统的运作

NFT的所有权记录在区块链上，并可以由所有者转移，允许NFT进行销售和交易。整个生态系统首先由创作者发起。他们创作数字资产，如艺术品、图片、视频等。创作者将数字内容上传到托管服务，以便公开展示。当他们铸造或创建一个NFT时，他们执行存储在智能合约中的代码，符合不同的标准，如ERC-721。此信息被添加到区块链中，其中NFT正在被管理。

接着，卖家和买家将在NFT交易平台上拍卖和交易他们的NFT。买家签署交易后，平台将交易记录写入区块链，包括金额的转移和艺术品的所有权。

NFT安全问题：

智能合约漏洞： NFT的核心是智能合约，因此，它像其他智能合约一样容易受到恶意攻击，包括重入攻击、整数溢出、访问控制缺陷等。NFT智能合约可能存在的最常见漏洞是访问控制漏洞、重入攻击等。
市场漏洞： NFT市场的漏洞可能对NFT本身构成危险。甚至可能导致NFT被盗。曾经，OpenSea遭受了攻击，攻击者能够以旧价购买NFT。由于这个漏洞，几个用户能够以远低于代币市场价值的价格购买宝贵的NFT。
存储问题：如果NFT的元数据存储在离线状态下，如果离线网络出现问题，链接本身将无用，NFT将不再可用。集中式离线网络应用程序和存储系统仍然面临传统的DoS攻击风险，从而拒绝向NFT系统提供服务。
社交媒体黑客：最近，攻击者正在瞄准这些NFT项目的社交媒体（Discord/Twitter）账户。攻击者通常使用钓鱼、社会工程学、机器人等技术来入侵这些账户。在攻击服务器后，他们可以欺骗用户将钱包连接到他们的恶意网站，从而窃取NFT。
NFT欺诈和钓鱼：通常，钓鱼是黑客获取您NFT账户信息的方法。他们经常使用电子邮件或知名社交媒体网站和论坛（如Twitter和Discord）来分发用于此目的的欺诈性URL。一旦您点击链接并提交信息，黑客就可以通过键盘记录或其他攻击软件接管您的账户并入侵它。
交易中的市场操纵： NFT市场可以通过多种方式被操纵。一些常见的市场操纵形式包括洗盘交易、抬高然后抛售计划、名人代言等。恶意行为者经常使用以上技术来提高NFT的价格，并为了利润而将其抛售。
私钥/助记词泄露： NFT所有权通过私钥管理，私钥是特定数字钱包中所有资产的哨兵。如果您的私钥泄露，任何拥有私钥访问权的人可能会从数字钱包中窃取您的NFT并将其出售。因此，将私钥存储在安全位置非常重要。

NFT黑客案例研究：

Lympo：2022年1月10日，体育NFT铸造平台Lympo遭受了一次黑客攻击，导致失去了1652万个LMT代币，即在攻击发生时价值1870万美元。攻击的主要原因是热钱包的私钥泄露，这使得攻击者能够控制NFT并窃取它。
Bored Ape Yacht Club：2022年4月，骗子从Bored Ape Yacht Club收藏的开发者那里窃取了代币。盗窃是通过入侵开发者的Instagram账户来实现的。在这次黑客攻击中，总共窃取了价值1370万美元的NFT。
Open Sea NFT市场：2022年2月，NFT市场OpenSea的用户成为了钓鱼攻击的受害者。攻击者设法从被利用的用户那里窃取了1200个ETH，后来以170万美元的价格出售。

用户如何保护他们的NFT安全？

尽职调查：在投资任何NFT项目之前，用户应进行自己的尽职调查。通常，尽职调查包括分析以下基本细节：
- 项目创始人的个人资料和背景
- 项目的社交媒体账户，如Twitter、Discord等
- NFT的价格、供应和稀缺性
- NFT的实用性
- 检查项目是否已经接受审计

在声誉良好且安全的市场交易NFT：对于许多NFT交易者来说，安全性是一个重要考虑因素，尤其是鉴于已经发生过几起备受关注的平台黑客攻击事件。因此，尽量在声誉良好且安全的NFT市场进行交易。
永远不要盲目签署NFT交易：在确认交易之前，始终检查智能合约中的权限详情。许多黑客会将他们的行为伪装成智能合约的形式，从而使他们未经授权地访问您钱包中的资金。
只与官方渠道、Twitter账户和链接互动：始终限制您的Telegram、Discord和电子邮件接收来自陌生人和非官方地址的消息。首先使用该链接检查网站，这将告诉您该网站是否合法。
永远不要与任何人分享您的助记词或钱包私钥：如果您向任何人透露您的助记词或私钥，他们将能够访问您的数字资产。任何拥有您的私钥/助记词访问权限的人都可以窃取您所有的代币和NFT。
启用认证方法/2FA认证以防止社交账户被黑客攻击：有许多情况下，这些NFT项目的社交媒体账户，如Discord和Twitter，会被黑客攻击，黑客利用被攻破的账户谋取私利。

总结

如果您需要任何智能合约（包括但不限于NFT）审计服务，或者咨询服务，请联系我们，我们将提供专业且极具性价比的审计服务！

翻译
学分: 7
分类: 安全
标签: 智能合约审计 NFT安全

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

NFT安全

什么是NFT

NFT生态系统的运作

NFT安全问题：

NFT黑客案例研究：

用户如何保护他们的NFT安全？

总结

你可能感兴趣的文章

相关问题

0 条评论

文章目录