股市投資 小副述文字一共二十個字小副述文字一共二十


基金ETF 小副述文字一共二十個字小副述文字一共二十


全球總經 小副述文字一共二十個字小副述文字一共二十


理財商業 小副述文字一共二十個字小副述文字一共二十


消費信用 小副述文字一共二十個字小副述文字一共二十


保險稅制 小副述文字一共二十個字小副述文字一共二十


房產生活 小副述文字一共二十個字小副述文字一共二十


 
周杰倫「無聊猿」NFT 遭駭損失千萬!NFT 到底安不安全?
收藏文章
很開心您喜歡 虎嗅網 的文章, 追蹤此作者獲得第一手的好文吧!
虎嗅網
字體放大


分享至 Line

分享至 Facebook

分享至 Twitter


周杰倫「無聊猿」NFT 遭駭損失千萬!NFT 到底安不安全?

2022 年 4 月 7 日

 
展開

周杰倫被偷家了!聽到這句話,大家可能覺得周董在《 英雄聯盟 》裡被偷家了。但這次偷的不是基地,而是標價 300 萬元(人民幣,下同)的無聊猿 NFT。事情是這樣子的。周杰倫昨天發了一條 Instagram 動態,說他帳號裡的 NFT 被釣魚網站給偷了。因為恰逢愚人節,為了表明自己不是開玩笑,周董還加上了 “ 這不是愚人節玩笑 ” 的 Tag。

差評君看到消息後也去 OpenSea(NFT 交易平台)上看了一眼,發現周杰倫帳戶(71DE21)的旁邊多了個紅色嘆號,上面顯示:This account may be compromised 此帳號可能被盜用。

而記錄也顯示周杰倫在 4/1 淩晨把無聊猿 “ 交易 ” 給了 E34F00 用戶。E34F00 到手後,半小時內交易給了 F794A0,沒過幾分鐘 F794A0 又加價交易給了另外一個人。所以周董這條動態,確實不是愚人節玩笑——NFT 真被偷了。雖說不玩 NFT,也不信這玩意,但是對 NFT 整天宣傳自己什麽獨一無二、不可複製的印象很深刻。這件事一出啊,網友們就吵開了鍋。

“ 你們幣圈的玩意,不是說很安全嗎? ”
“ 現在訪問個網站,300 萬就沒了? ”

差評君和你們一樣,盡管 NFT 技術理念很先進,但對於當前熱衷於炒作的趨勢,我也不看好。不過一碼歸一碼,因為這件事有網友說幣圈東西不安全,我覺得還有待商榷的。周董的 NFT 是和以太坊綁定的,而且還放在他的以太坊錢包裡,所以要盜取無聊猿 NFT,就得先拿到周董的以太坊錢包密鑰。

來破解看看。這個過程可以說是非常漫長,差評君給大家算一下(也可以直接跳到答案部分)。以太坊密鑰,是一串 256 位的二進制數字,類似下面這樣:

1011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011101101101110110110111011011011011011

每一位都有 2 種可能(0 或 1),要猜對全部 256 個數字,最多需要嘗試 2²⁵⁶ 次。這數字太宏大了,根據大家都學過的數學, 2²⁵⁶ 可以被分成:2⁶⁴ * 2⁶⁴ * 2⁶⁴ * 2⁶⁴ ,也就是 1,800 億億* 1,800 億億* 1,800 億億* 1,800億億。

咱們就把它拆分出來算算看。假設第一個 1,800 億億是每秒計算的速度:美國超級計算機 Summit 運算速度是每秒 20 億億次,就當人類究極進化了吧,每個人的計算速度都有 Summit 的 90 倍,這才能達到 1,800 億億次/秒。第二個 1,800 億億則是有多少人在算:地球有 80 億人口,得 22.5 億個地球才有 1,800 億億人。第三個 1,800 億億,看看在上面這個情況下,得算多久:1,800 億億秒≈5700 億年,為宇宙年齡(137 億年)的 41 倍,我們需要算 41 個宇宙年齡的時間。第四個 1,800 億億我就不寫了,沒東西可以打比方了。

答案來了!即便有 22.5 億個地球,地球上所有人都擁有 90 倍超級計算機的能力,然後從宇宙大爆炸就開始算,算到現在,再重覆 41 次,也只有 1,800 億億次分之一概率算對周董的密鑰。總之,暴力破解密鑰,基本不可能。所以 NFT 在技術上的安全性,絕對是夠的。

看到這可能有差友要說,你差評君什麽意思?既然這麽安全,那周董的 NFT 怎麽被偷的?我們看下周杰倫原話,朋友為了幫他 Mint 黃立成新項目,結果 NFT 被釣魚網站偷了。

Mint 有鑄造的意思,你要購買 NFT 新項目就得 Mint。因為以太坊上的交易,需要礦工們打包放在區塊鏈上才能完成,這會消耗他們的運算資源。所以不管 NFT 多少錢,你 Mint 就得付給礦工們一定費用(Gas)。問題又來了,要支付費用,就得向交易網站授予錢包權限,來調動資產。所以差評君猜測,周董朋友為了支付 Gas 礦工費,把錢包權限給了釣魚網站。

▲記錄顯示,周董朋友給了對方 “ 批準所有 ” 的權限

釣魚網站前腳拿到權限,後腳就調走了周董的 NFT。所以這件事和 NFT 技術性上的安不安全沒啥關係,只是周董被電信詐騙了。

不光是周董,最近被盜取 NFT 的受害者還挺多的,方式也各式各樣。比如幣圈的人都用 Discord 交流,黑客會黑進 Discord 服務器冒充管理員,跟你說有免費 NFT 可以領取。有免費的東西不白嫖,那不是傻子嗎?於是,很多人在 Mint 時就把錢包權限授權給了釣魚網站。

除了騙取授權,還有直接騙取密鑰的。前面我們說密鑰有 256 位數,這一大串 0 和 1,你不看花眼就不錯了,更別說記下來了。為了方便,助記詞出現了,它由十幾個英文單詞按照一定順序組成。在權限上,助記詞就等於密鑰,它只是換成了單詞讓你好記。所以騙子會告訴你錢包要升級,把助記詞告訴他即可完成升級。結果小白啥也不懂,乖乖交出去了。

類似的套路還挺多,都在變法子騙你錢包權限、套你密鑰、助記詞。所以幣圈在底層邏輯上很安全,但換個維度說,它又極其不安全。畢竟是加密貨幣,隱私至上。哪怕感知到風險,也不會像傳統交易這樣,給你安排人臉識別的。再加上目前瘋狂湧入 NFT 的買家們,多半是啥都不懂的小白。他們只是對發財更感興趣,哪管什麽安全不安全。所以與其說他們是進入了加密貨幣的天堂,還不如是說闖入了駭客樂園,隨時可能成為待宰的羔羊。

虎嗅網》授權轉載

【延伸閱讀】

 
週餘
 
 
分享文章
分享至 Line
分享至 Facebook
分享至 Twitter
收藏 已收藏
很開心您喜歡 虎嗅網 的文章, 追蹤此作者獲得第一手的好文吧!
虎嗅網
分享至 Line
分享至 Facebook
分享至 Twitter
地圖推薦
 
推薦您和本文相關的多維知識內容
什麼是地圖推薦?
推薦您和本文相關的多維知識內容