安全最薄弱的一环,永远是人。本文来自微信公众号:差评 (ID:chaping321),撰文:刺猬,编辑:小鑫鑫、面线、江江,头图来自:视觉中国
周杰伦被偷家了!
听到这句话,大家可能觉得周董在《 英雄联盟 》里被偷家了。但这次偷的不是基地,而是标价 300 万元的猴子 NFT。
事情是这样。周杰伦昨天发了一条 Instagram 动态,说他账号里的 NFT 被钓鱼网站给偷了。因为恰逢愚人节,为了表明自己不是开玩笑,周董还加上了“这不是愚人节玩笑”的 Tag。
差评君看到消息后也去 OpenSea(NFT 交易平台)上看了一眼,发现周杰伦账户(71DE21)的旁边多了个红色叹号,上面显示:
This account may be compromised 此账号可能被盗用。
而记录也显示周杰伦在 4.1 号凌晨把猴子“交易”给了 E34F00 用户。E34F00 到手后,半小时内交易给了 F794A0,没过几分钟 F794A0 又加价交易给了另外一个人。
所以周董这条动态,确实不是愚人节玩笑——NFT 真被偷了。
虽说大家不玩 NFT,也不信这玩意,但是对 NFT 整天宣传自己什么独一无二、不可复制的印象很深刻。这件事一出啊,网友们就吵开了锅。
“你们币圈的玩意,不是说很安全吗?”
“现在访问个网站,300 万就没了?”
差评君和你们一样,尽管 NFT 技术理念很先进,但对于当前热衷于炒作的趋势,我也不看好。不过一码归一码,因为这件事有网友说币圈东西不安全,我觉得还有待商榷的。
周董的 NFT 是和以太坊绑定的,而且还放在他的以太坊钱包里,所以要盗取猴子 NFT,就得先拿到周董的以太坊钱包秘钥。
咱们来破解看看。这个过程可以说是非常漫长,差评君给大家算一下(也可以直接跳到答案部分)。
以太坊秘钥,是一串 256 位的二进制数字,类似下面这样:
1011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011011011
每一位都有 2 种可能(0 或 1),要猜对全部 256 个数字,最多需要尝试 2²⁵⁶ 次。
这数字太宏大了,根据大家都学过的数学, 2²⁵⁶ 可以被分成:2⁶⁴ * 2⁶⁴ * 2⁶⁴ * 2⁶⁴ ,也就是 1800亿亿*1800亿亿*1800亿亿*1800亿亿。
看到这可能有差友要说,你差评君什么意思?既然这么安全,那周董的 NFT 怎么被偷的?
我们看下周杰伦原话,朋友为了帮他 Mint 黄立成新项目,结果 NFT 被钓鱼网站偷了。
Mint 有铸造的意思,你要购买 NFT 新项目就得 Mint。因为以太坊上的交易,需要矿工们打包放在区块链上才能完成,这会消耗他们的运算资源。所以不管 NFT 多少钱,你 Mint 就得付给矿工们一定费用(Gas)。
问题又来了,要支付费用,就得向交易网站授予钱包权限,来调动资产。所以差评君猜测,周董朋友为了支付 Gas 矿工费,把钱包权限给了钓鱼网站。
记录显示,周董朋友给了对方“批准所有”的权限▼
钓鱼网站前脚拿到权限,后脚就调走了周董的 NFT。所以这么看,这件事和 NFT 技术性上的安不安全没啥关系,它只是……周董被电信诈骗了。
不光是周董,最近被盗取 NFT 的受害者还挺多的,方式也各式各样。
比如币圈的人都用 Discord 交流,黑客会黑进 Discord 服务器冒充管理员,跟你说有免费 NFT 可以领取。有免费的东西不白嫖,那不是傻子么……于是,很多人在 Mint 时就把钱包权限授权给了钓鱼网站。
在权限上,助记词就等于秘钥,它只是换成了单词让你好记。所以骗子会告诉你钱包要升级,把助记词告诉他即可完成升级。结果小白啥也不懂,乖乖交出去了。
类似的套路还挺多,都在变着法子骗你钱包权限、套你秘钥、助记词。
所以啊,币圈在底层逻辑上很安全,但换个维度说,它又极其不安全。毕竟是加密货币,隐私至上。哪怕感知到风险,也不会像传统交易这样,给你安排人脸识别的。
再加上目前疯狂涌入 NFT 的买家们,多半是啥都不懂的小白。他们只是对发财更感兴趣,哪管什么安全不安全。
所以与其说他们是进入了加密货币的天堂,还不如是说闯入了黑客乐园,随时可能成为待宰的羔羊。
图片、资料来源
OpenSea
科普 | 比特币私钥总数有2的256次方 , 这个数有多大?
本文来自微信公众号:差评 (ID:chaping321),撰文:刺猬,编辑:小鑫鑫、面线、江江