在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。
上周四,一位自学成才的艺术家麦克·温克尔曼(Mike Winkelmann)以6930万美元的价格在佳士得网上出售了一张数字图像,成交价格甚至远远超过了萨尔瓦多·达利或保罗·高更的艺术品,也是有史以来出售的最昂贵的数字资产,带有被称为不可替代的通证(或NFT)的真实性数字证书。
此外,据华尔街日报报道,音乐家Grimes最近还以大约600万美元的价格售出了10件基于NFT的数字艺术作品。
甚至Twitter创始人也加入了NFT的“带货”热潮,五个单词(创世推文)拍出250万美元...
何为NFT?
简单来说,NFT就是使用(以太坊)区块链分布式数据库技术,为任意类型的数字商品/资产创建的所有权证书,且该证书独一无二。
NFT之所以让互联网和金融圈掀起疯狂,是因为NFT解决了数字版权的两大痛点:唯一性与真实性验证和去中介(心)化交易。
NFT的关键创新之处在于提供了一种标记原生数字资产所有权(即存在于数字世界,或发源于数字世界的资产)的方法,且该所有权可以存在于中心化服务或中心化库之外。
同时,NFT由于其非同质化、不可拆分的特性,使得它可以和现实世界中的一些商品绑定。换言之,其实就是发行在区块链上的数字资产,这个资产可以是游戏道具、数字艺术品、门票等,并且具有唯一性和不可复制性。由于NFT具备天然的收藏属性和便于交易,加密艺术家们可以利用NFT创造出独一无二的数字艺术品。
黑客攻击纷沓而至
但是NFT在颠覆并开拓潜力巨大的数字资产/版权交易市场的同时,也吸引了黑客的注意力。基于NFT的天价画作成交不到一周,黑客攻击就纷沓而至。
近日,数字艺术版权交易市场Nifty Gateway的用户报告说,黑客在周末接管了他们的账户并窃取了价值数千美元的艺术品。
甚至有用户表示更改了密码之后,仍未能将黑客赶出账户。一些人则发现失窃的数字资产随后在聊天应用程序Discord或Twitter上出售。
其他用户还报告说,入侵者还窃取了他们的信用卡信息,并开始使用它来购买其他艺术品,失窃金额高达2万美元。
Nifty Gateway在一份声明中表示,它鼓励用户使用双因素身份验证(2FA)来防止账户被黑客入侵和接管,并指出受影响的帐户都没有启用2FA。该公司表示,“没有迹象表明Nifty Gateway平台遭到入侵。”
NFT支持的数字艺术的价值是否会随着时间的流逝而消失,以及其价值是否源于其创新性,仍然存在疑问。但是就目前而言,巨大利益的驱使下,黑客们正热衷于窃取并通过NFT转移高价值数字资产。
过去,为朝鲜政府工作的国家黑客热衷于获取比特币等加密货币,但NFT的独特之处在于,它们无法像比特币一样用其他NFT代币交换。
漏洞也是艺术品?
不仅仅是黑帽黑客,白帽黑客们也经不住NFT的诱惑。最近几周,网络安全社区也开始涉足NFT。NFT市场OpenSea的一位用户在本月初发布了一项基于NFT的漏洞利用程序,这引发了关于NFT交易内容的范围界定和审核,以及恶意黑客是否可能通过NFT买卖漏洞利用程序或其他黑客工具的道德问题。
“作为漏洞利用工程师,我将某些漏洞视为艺术品,例如:这是一个有趣的计算机安全漏洞,可导致当下最流行的网络游戏引擎拒绝提供服务,”发布漏洞利用的用户,联合创始人安全公司Hacker House的负责人Matthew Hickey在推文中说。“资产/知识产权将全部转让,买家可以根据需要进行处理。”
该漏洞是ioquake3引擎(一种经典的第一人称射击引擎)中的身份验证后内存损坏漏洞,任何购买该漏洞的人都可以对该游戏引擎发起有效对拒绝服务攻击。但据CoinDesk报道,OpenSea拒绝了Hickey的上架要求。
Hickey透露,他尚未收到OpenSea的回音,并补充说,尽管他认为不应限制某人可以通过NFT出售的数字资产的种类,但他认为NFT还处于发展初期,NFT在信息安全社区中的应用还有待探索。
“我们仍在研究NFT,该技术似乎还处于起步阶段,但是我们确实将其视为一种颠覆性技术,但是与网络安全领域的关系还有待进一步研究。”Hickey说道:“我认为人们应该能够出售的数字资产类型不应该受到任何限制,我认为当前的NFT集中化交换模型应该变成去中心化,以允许此类资产的直接对等转移。真正改变版权、数字版权管理和其他数字版权相关概念。”
Hickey警告说,NFT如果落入不法之徒,则有可能被滥用。
与任何技术一样,NFT可以引发新的犯罪和滥用,就像互联网促进了新的商业活动一样,NFT也将催生新的网络犯罪行为。