“良心”黑客盗卖我的NFT，只留下10%资产作为“辛苦费”

原创 | Odaily星球日报

作者 | 夫如何

编辑 | 秦晓峰

近期，两起针对 NFT 协议合约的恶意攻击受到市场关注——NFT Trader 和 Flooring Protocol 分别于 16 日以及 17 日受到黑客攻击， Odaily星球日报对此进行了回顾。

链上信息显示， 12 月 16 日， 37 枚 BAYC 及 13 枚 MAYC 被转入一特定地址，NFT Trader 疑似被攻击。随后 NFT 巨鲸 dingaling 发文称，NFT Trader 的 Batch Swap 合约遭到攻击。

攻击消息很快得到 NFT Trader 证实。官方称，黑客针对两个旧智能合约进行恶意代码攻击， 导致 37 枚 BAYC 及 13 枚 MAYC 被盗走，共计损失约 400 万美金。

按照过往经验，后续的故事情节 要不然是项目方自认倒霉赔偿用户，要不然是项目方与黑客商量退款。而这次的黑客非常有觉悟，直接跨过了与项目方沟通的流程，直接倒卖了盗窃所得 NFT 并留下部分资金作为“赏金”。

一位黑客在链上留言称，表示自己并非本次的攻击者，并透露最初攻击者是尾号“ bd46 ”的地址，自嘲自己只是在后面“捡垃圾”。 同时该黑客还表示，自己只需要 10% 赏金，就可以归还 NFT，并以每个 BAYC 30 ETH 和 MAYC 6 ETH 计算金额。此后，黑客将一个 BAYC 在 Blur 中出售获得 35 ETH，自己留下了 4 ETH，剩余的 ETH 还给了 NFT 持有者。

听起来这像是“有良心”黑客的故事——卖受害者 NFT，只拿走赏金，剩余再还给受害者，但这并不能成为为其开脱的理由。

很快，就有用户提供了一个 找回被盗 NFT 的方法。 @0xQuit 发文称，通过对黑客手中 NFT 的地址分析，多个 NFT 地址对 NFT Trader 授权，通过逆向找回的方式，可以黑客手中的 NFT 再拿回来。

该方法也得到项目方的认可，最终成功追回被盗资产。ApecoinDAO 所资助的安全公益组织 Boring Security 发文表示，被盗的 36 个 BAYC 和 18 个 MAYC 已经找回（部分被盗的已经出售），将向黑客提供 10% 的赏金，并将 NFT 免费送还给受害者。

至此，NFT Trader 的 NFT 被盗事件暂时画上了一个句号，受害者损失并不大。就在 NFT Trader 事件结束前几个小时， 另外一个 NFT 协议 Flooring Protocol 也遭遇黑客攻击。

Delegate 创始人 foobar 在 X 平台发文表示，Flooring Protocol 被盗走了 14 个 BAYC 和 36 个 Pudgy Penguins 。 随后黑客在 Blur 以远低于地板价的价格开始“甩卖”，BAYC 上架价格为 26.2 ETH， Pudgy Penguins 上架价格为 9.2 ETH，共计获得近 168 万美元，全部进入黑客口袋。

Flooring Protocol 和 NFT Trader 虽然都是受到了攻击，但受害者的处境却天差地别，只能说 NFT Trader 的受害者是幸运的。 但短短两天接连被盗事件，还是应该为大家敲响了警钟。

慢雾创始人余弦在提醒称：”如果大家在 EVM 链有重要资产，检查与取消重要资产的授权(尤其是无限授权)，没人可以 100% 肯定再知名的协议不会出安全问题。“

Odaily星球日报提醒大家，不要轻易点击任何陌生链接，定期清理钱包授权。