继周杰伦NFT被盗之后，“无聊猿”又因官方账号被黑导致用户损失数百万美元

收听文本0:00/0:00

变着法子考验安全性。

最近，NFT相关新闻出现的次数似乎有点多：先是交易平台OpenSea用户钱包被盗，千万资产一夜消失；随后知名NFT游戏Axie Infinity被黑客攻陷，用户统共6亿财产不翼而飞......而几乎每一件事都在拷问着NFT的宣传语——安全性。

而前段时间从NBA球星到演艺圈人士都参与哄抢的知名NFT“无聊猿”，自从周杰伦在Instagram上公开自己的“BAYC #3738 ”被盗的消息后，也正在无数人的瞩目下中落下神坛。

价值300万的NFT就这样不明不白的从周董的以太坊钱包里消失，一度引发了国内网友的讨论

在周董NFT被盗前后，媒体接连爆料有数名“无聊猿”持有者的NFT也无故消失了。这些当然同样都出自黑客之手，但BAYC官方和NFT持有者们没有想到的是，黑客们还敢做得更加猖狂。

昨天，“无聊猿”BAYC官方在官推上发布了一则信息，称官方没有推出新NFT，且BAYC的Ins账号已经被黑，叮嘱用户们不要去mint新NFT（指通过一手方式获取NFT）且连接到自己的钱包。

在BAYC的官方Discord上，版主也出来警告所有人BAYC的Ins共享了一个假的mint网站，所有人不要mint上面的任何东西。

BAYC官方随后在INS上发布了同样的紧急声明

但官方的警告为时已晚，此时已经有受骗者出现了——根据著名加密侦探Zachxbt分享的黑客以太坊地址显示，该地址在周一早上数个小时里已经收获了一百多条NFT。创造了这个知名NFT的公司Yuga Labs声称，本次骗局的造成的损失多达300万美元。

以上情况不难理解，这场瞄准了BAYC关注者钱包的钓鱼骗局，实际上原理很简单——只要黑了官方社交账号，再在账号中以BAYC的名义声称空投新NFT，用事先准备好的和BAYC官网 一模一样的钓鱼网站以欺骗那些关注者免费获得NFT，让他们在不明所以的情况下签署共享资产转让协议，以此拿走受骗者MetaMask钱包的控制权。简单来讲，和一般的电信诈骗也差不多。

实际上，单说NFT本身的安全底层逻辑，的确是足够安全的——想要直接获取这些用户的NFT，必须破解私钥，但这工程量极其浩大，几乎无法完成，因此从技术上讲一个人购买进自己钱包的NFT是无法被别人拿走的。但这一切的前提是NFT用户没有自愿签协议将自己的钱包使用权交给别人。

尽管这次风波中黑客所用的手段和前段时间同样遭遇打击的OpenSea相比要简陋许多，且用户损失总和也完全不可同日而语，但BAYC是颇有名气的NFT创造者，而非NFT交易平台或NFT游戏，黑客只要运用BAYC的影响力就可以轻易让用户上钩，因此采用这种猖狂的形式无疑是非常有效率的、堪称量身定制的方法——简单来说，谁也不能保证NFT的绝对安全性，当NFT成为一种财富形式，就很难避免有人挖空心思用不择手段去获取，而获取它们的方式，有时候完全可以绕过技术本身，从而变得非常简单。

现在，安全问题的压力来到了用户这边，很多跟风进入NFT圈的人此时可能会有些迷惑，自己到底该相信谁。