cpr|谨防！钓鱼攻击威胁NFT资产安全( 二 )_知识|手册

OpenSea的声明显示，这些攻击依赖于用户通过第三方钱包为恶意交易提供签名来批准恶意活动，修复漏洞后，他们已经与和平台集成的第三方钱包直接协调，以帮助用户更好地识别恶意签名请求，以及帮助用户阻止诈骗和网络钓鱼的举措攻击。「我们还围绕安全最佳实践加倍进行社区教育，并启动了一个关于如何在去中心化网络上保持安全的博客系列。我们鼓励新用户和经验丰富的老手阅读该系列。我们的目标是让社区能够检测、减轻和报告区块链生态系统中的攻击，例如 CPR 所展示的攻击。」
别将钱包轻易与陌生网址相连
这已经不是第一起发生在NFT资产领域的安全事件，受害者也不仅是普通用户，但更集中在普通用户群体中，因为无论是平台还是项目方的的NFT资产被盗，都会影响到普通用户的收益。
仅今年3月就发生了两期知名度较高的NFT资产被盗事件。
先是3月15日，社交NFT代币平台Roll的热钱包被盗，黑客从中盗取了部分WHALE和 SKULL等NFT社交代币，其中部分资金随后被转移到交易混合器Tornado。据分析称，攻击者在此过程中净赚了约570万美元的ETH。受影响的社交代币价格大幅下跌。
紧接着的3月17日，NFT交易市场Nifty Gateway的数名用户遭遇了账号被盗，有受害者称，黑客从其帐户中窃取了价值数千美元的数字艺术品；其他被黑客入侵的用户称，他们存档的信用卡被用来购买额外的NFT。Nifty Gateway后续的声明中提到，遭遇盗号的账户因没有启用双因素认证（采用两种信息来认证本人身份，一般是采用的密码和动态口令的组合），而黑客通过有效账号的认证信息获得了访问权限。
在非同质化代币NFT越来越多的与收藏品、有价值的加密资产相连时，黑客的罪恶之手正在伸向NFT持有者的钱包，这也再次反映了NFT依托的区块链网络安全性的脆弱。
有经验的用户曾总结过NFT的攻击向量，比如，黑客对你的电脑植入木马病毒文件，盗取你的登录信息和其他资料；或者通过恶意软件记录键盘输入，窃取你的密码；抑或通过恶意软件来获取屏幕截图，从而获得敏感信息；黑客还可能通过劫持DNS，创建钓鱼页面，骗取用户钱包的助记词。
这样看下来，这些攻击手段与黑客攻击互联网时所用的方式并无多大差异，但在互联网应用上，用户已经从自己或别人的经验中获得了一些防御意识，比如，不随便点开陌生链接。但在使用区块链网络和加密钱包时，一些用户变成了「常识归零」的状态，这与用户对加密资产及区块链基础的陌生感有关，也再次说明区块链基建在普及层面的不成熟。
普通用户似乎只能从一起起的安全事故中去学习防范技能，普及安全常识也成为加密社区致力做的工作之一。
NFT创作者和收藏家Justin Ouellette就曾在推特上科普过NFT资产的保护措施，「不要在多个平台上重复使用相同相同的密码；要学会启用双因素认证；要小心那些最小化元蒙版UI的网站（往往是钓鱼网站和木马软件）；不要透露你的助记词给任何人。」
资产被盗还仅仅是NFT安全的一个层面。近期，华中科技大学区块链存储研究中心和 HashKey Capital Research对NFT的研究报告显示，NFT 系统是由区块链、存储和网络应用集合而成的技术，其安全保障具有一定的挑战性，每一个组成部分都有可能成为安全的短板，致使整个系统受到攻击，仿冒（Spooling）、篡改（Tampering）、抵赖（Repudiation）、信息泄露（Information Disclosure）、拒绝服务（Dos）和权限提升（Elevation of privilege）等方面都是NFT系统存在的风险可能。
在安全之路上，NFT要走的道路还很远。