NFT攻击向量(四)

  • Spade_sec
  • 更新于 2024-05-14 15:47
  • 阅读 1174

在本系列文章中(当前系列第四篇,也是最后一篇),我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。在这里阅读有关N

当提到NFT(非同质化代币)时,人们往往会想到数字资产的独特性和不可替代性。然而,随着NFT市场的迅速增长,也引发了一系列关于NFT攻击向量的关注。在本系列文章中(当前系列第四篇,也是最后一篇),我们将探讨一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。在这里阅读有关 NFT 的更多信息。

2_20230102_120403_0001.jpg

私钥泄露

描述:

NFT所有权通过私钥管理,私钥是特定数字钱包中所有资产的守护者。持有私钥的任何人都可以获得访问权限,并将NFT从数字钱包中移出并重新销售。

为了访问所有者权限,骗子们需要他们的私钥。在大多数情况下,这些私钥是通过社会工程学手段获得的,这些手段最终导致所有者无意中向攻击者泄露私钥。许多这些社会工程学策略可能与钓鱼或冒充骗子使用的策略相似。在2020年和2021年,私钥泄露导致了2.6亿美元的盗窃 - 包括可替代和非可替代的token DeFi协议。

参考资料:

<https://www.darkreading.com/vulnerabilities---threats/nft-thefts-reveal-security-risks-in-coupling-private-keys-and-digital-assets/a/d-id/1340577>

image.png

空投漏洞

描述:

偶尔,一个现有的NFT项目可能会试图通过向其社区发起空投来维持其炒作或推高NFT价格。它们通常通过进行“快照” - 记录在特定时间点谁拥有什么或多少代币 - 然后相应地分配新的加密资产来实现。特定于NFT的空投可能基于“每个NFT的代币”进行。这使用户可以根据他们对特定收藏的NFT的拥有权来领取空投。

根据它们的编码或组织方式,攻击者可能会找到参与空投但不符合资格的方式,或索取比预期更多的代币/NFT。空投失败在更广泛的加密资产领域很常见,不仅限于NFTs。

参考资料:

<https://www.cybersecasia.net/news/malicious-airdropped-nfts-lead-to-theft-of-hundreds-of-thousands-of-dollars>

image.png

API漏洞

描述:

在大多数情况下,通过前端用户界面发起的交易将通过API在NFT平台的智能合约上进行通信和执行。虽然API漏洞的实例并不多,但值得注意的是它们可能存在漏洞。这些漏洞可能源于前端交互向智能合约通信的时间延迟,或者以一种在平台前端不明显的方式运行。

参考资料:

<https://finance.yahoo.com/news/marketplace-exploit-leads-catastrophic-losses-131904566.html>

image.png

NFT社交媒体黑客

描述:

最近NFT的普及度飙升,部分原因是线上线下信息不足,使其成为骗子和黑客的热门目标。对于这些NFT项目来说,Discord是最常见的被黑客攻击的社交媒体平台。

NFT项目的Discord是一个互动论坛,艺术家、开发人员和投资者在其中讨论各种相关话题。最近几个月,通过已被黑客攻击的Discord账户部署的与NFT铸造骗局相关的网络钓鱼攻击迅速增加。

黑客攻击Discord服务器的常见方式包括:

  • 社会工程学
  • 利用Discord机器人漏洞
  • 不安全的账户

参考资料:

<https://medium.com/quillhash/analysing-nfts-discord-server-hacks-quillaudits-46f8d874f913>

image.png

网络钓鱼诈骗

描述:

网络钓鱼诈骗可能是NFT社区中最常见的骗局,也可能是整个加密货币社区中最常见的骗局。它们涉及到虚假的恶意网站,通过以下两种主要方式之一来威胁受害者的加密资产:

  • 通过伪造的弹出窗口 - 冒充知名的托管钱包提供商的登录面板 - 一旦输入后,就会窃取受害者的钱包信息。
  • 通过鼓励受害者无意中签署恶意交易,以便骗子冒充合法的NFT项目,窃取他们的NFT。这利用了ERC721和ERC1155标准中的“SetApprovalForAll()”功能,允许 - 经过钱包所有者的批准 - 其他人管理他们的资产。

参考资料:

<https://nftnow.com/guides/nftldr-phishing-scams-explained-in-under-400-words/>

image.png

前端攻击

描述: 黑客越来越多地针对NFT协议的前端网站,试图窃取用户的资金。

在这种攻击中,黑客会篡改网站或域名,将毫不知情的用户或其交易重定向到恶意目的地。如果用户在攻击者的网站上签署交易,以为是真正的网站,在这种情况下,攻击者可以从钱包中窃取用户的所有资产。

2022年1月,Opensea NFT市场遭受了一次前端攻击,攻击者提取了332个以太币。

参考资料:

<https://forkast.news/headlines/opensea-nft-marketplace-hacked-332-eth/>

image.png

总结

在本系列文章(最后一篇)中,我们探讨了一些常见的NFT攻击向量,以及如何防范这些风险,确保数字资产的安全和保护。

点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
Spade_sec
Spade_sec
区块链安全团队,提供极具性价比的智能合约审计服务!可以加微信进交流群:You_know22