当前位置: 首页 -> 协会简讯
发布时间: 2022-05-07
导语:网安微讲堂,轻松涨知识!欢迎来到全全的网安微讲堂,在这里你将感受全全给大家带来的电影式沉浸学习法~快来一睹为快。
近日NFT圈又出大事,带火NFT项目的周杰伦在社交媒体发帖,称友人赠送的NFT无聊猿头像遭到钓鱼网站盗窃。该虚拟头像被黑客转出后,很快就经历了多次交易,成交价格高达50万美元(约320万人民币)!这让人不得不感慨:实在是贫穷限制了我的想象力啊!
如今访问个钓鱼网站,300万说没就没,区块链宣传的安全性就这样?
到底怎么回事,我们一起来聊聊NFT究竟如何被盗以及网钓鱼的那些事吧。
NFT百万资产究竟如何被盗?
NFT是区块链上最经常发行的一类资产。一般来说,NFT创建好后,用户还需要创建一个加密钱包,将法定货币兑换成以太坊,而NFT与以太坊加密钱包绑定,如果交易就要有加密钱包秘钥才行。秘钥由256位二进制数字组成,在不知道的情况下想要破解正确数字,概率为2的256次方分之一。2²⁵⁶ 可以被分成:2⁶⁴ * 2⁶⁴ * 2⁶⁴ * 2⁶⁴ ,也就是 1800亿亿*1800亿亿*1800亿亿*1800亿亿。
计算时间之漫长,暴力破解之不可能,NFT宣传的独一无二和安全性也是由此体现。
既然如此不可能,周董的 NFT 为什么还被盗了呢?
谜底关键在于铸造(Mint)。以太坊上的交易,需要矿工们打包放在区块链上才能完成,而Mint需要向交易网站授予钱包权限以调动资产支付矿工们一定费用。合理猜测,周董财富转移的权限和密码,就是在支付环节误信了以假乱真的第三方钓鱼网站平台,授予批准所有权限才被盗取。
所以,周董NFT被盗其实是遭遇了电信网络钓鱼诈骗。被盗事件也进一步证明,再高深的加密手段,也架不住网络钓鱼的套路,极低成本攻坚人心的钓鱼式盗窃手法值得我们时刻警惕和重视。
网络钓鱼,我们离上钩有多远?
网络钓鱼是以邮件、短信、社交网络等信息载体发布具有诱惑力的欺诈性鱼饵信息,在用户被钓上钩后,引诱用户登录访问其仿冒的钓鱼网站,泄露其敏感信息(账号ID、账户密码、支付口令、信用卡详细信息)以转移金钱资产的一种网络诈骗行为,属于电信诈骗类型之一,诈骗技术难度不大,操作门槛不高,可遍布撒网难以追踪,猖獗程度已达到几乎人人皆经历过、听说过或擦肩险避过。
很多人在正式被盗前,都认为自己不会轻易被网络钓鱼,甚至认为受骗者在文化程度、心理素质、社会阅历等方面略逊他人一筹。其实不然,ETC认证失效、账户冻结、积分中奖、冒充公检法短信通知。。。网络钓鱼诈骗套路常见有效不易察,危害巨大,仅2020年,我国电信网络诈骗造成的财产损失就高达353.7亿元,利用的一大心理就是人们生活中的大意轻视。
从近年警方公布的高发案例中更可发现网络钓鱼等电信诈骗呈现出作案手段多样化、受害群体广泛化的新趋势。面对“大水鱼”,犯罪分子甚至层层设局,精准钓鱼,分工出个人信息收集、恶意网站与软件架构、全网引流、具体诈骗实施等有剧本有规划的团体专业作案,利用大众心理弱点、本能反应、好奇心、信任、贪婪等社会工程学原理,屡屡诈骗成功。
据外媒报道,周董NFT被盗同一日平台多个主流NFT项目也遭受相同钓鱼攻击,近两年,我国警方亦破获一起利用代码合约“后门”非法获取计算机系统虚拟货币并借区块链虚拟货币交易平台销赃的数据案。两则案件,虽然犯罪分子利用了受害者心理弱点,但网络平台安全监管不力也是重要原因。
2021年,我国出台《数据安全法》《个人信息保护法》等多部网络安全法律法规,强调个人信息保护、企业网络安全建设,已发布的《网络安全审查办法》也重在压实平台运营者网络安全主体责任,虽然仍处于不断完善中,但国家治理网络安全问题决心坚定,相信在国家法律的重拳出击下,互联网平台的数据泄露和滥用以及由此导致的网络诈骗将被有效遏制,企业平台将更加重视网络安全建设,提高自身技术安全性,不断完善用户数据保护和平台网络安全保护设施,认真履行社会责任,为大众营造一个安全放心的网络生活圈。