漏洞也是艺术品?NFT面临安全危机

安全 应用安全 漏洞
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。

上周四,一位自学成才的艺术家麦克·温克尔曼(Mike Winkelmann)以6930万美元的价格在佳士得网上出售了一张数字图像,成交价格甚至远远超过了萨尔瓦多·达利或保罗·高更的艺术品,也是有史以来出售的最昂贵的数字资产,带有被称为不可替代的通证(或NFT)的真实性数字证书。

此外,据华尔街日报报道,音乐家Grimes最近还以大约600万美元的价格售出了10件基于NFT的数字艺术作品。

甚至Twitter创始人也加入了NFT的“带货”热潮,五个单词(创世推文)拍出250万美元...

[[388364]]

何为NFT?

简单来说,NFT就是使用(以太坊)区块链分布式数据库技术,为任意类型的数字商品/资产创建的所有权证书,且该证书独一无二。

NFT之所以让互联网和金融圈掀起疯狂,是因为NFT解决了数字版权的两大痛点:唯一性与真实性验证和去中介(心)化交易。

NFT的关键创新之处在于提供了一种标记原生数字资产所有权(即存在于数字世界,或发源于数字世界的资产)的方法,且该所有权可以存在于中心化服务或中心化库之外。

同时,NFT由于其非同质化、不可拆分的特性,使得它可以和现实世界中的一些商品绑定。换言之,其实就是发行在区块链上的数字资产,这个资产可以是游戏道具、数字艺术品、门票等,并且具有唯一性和不可复制性。由于NFT具备天然的收藏属性和便于交易,加密艺术家们可以利用NFT创造出独一无二的数字艺术品。

黑客攻击纷沓而至

但是NFT在颠覆并开拓潜力巨大的数字资产/版权交易市场的同时,也吸引了黑客的注意力。基于NFT的天价画作成交不到一周,黑客攻击就纷沓而至。

近日,数字艺术版权交易市场Nifty Gateway的用户报告说,黑客在周末接管了他们的账户并窃取了价值数千美元的艺术品。

甚至有用户表示更改了密码之后,仍未能将黑客赶出账户。一些人则发现失窃的数字资产随后在聊天应用程序Discord或Twitter上出售。

其他用户还报告说,入侵者还窃取了他们的信用卡信息,并开始使用它来购买其他艺术品,失窃金额高达2万美元。

Nifty Gateway在一份声明中表示,它鼓励用户使用双因素身份验证(2FA)来防止账户被黑客入侵和接管,并指出受影响的帐户都没有启用2FA。该公司表示,“没有迹象表明Nifty Gateway平台遭到入侵。”

NFT支持的数字艺术的价值是否会随着时间的流逝而消失,以及其价值是否源于其创新性,仍然存在疑问。但是就目前而言,巨大利益的驱使下,黑客们正热衷于窃取并通过NFT转移高价值数字资产。

过去,为朝鲜政府工作的国家黑客热衷于获取比特币等加密货币,但NFT的独特之处在于,它们无法像比特币一样用其他NFT代币交换。

漏洞也是艺术品?

不仅仅是黑帽黑客,白帽黑客们也经不住NFT的诱惑。最近几周,网络安全社区也开始涉足NFT。NFT市场OpenSea的一位用户在本月初发布了一项基于NFT的漏洞利用程序,这引发了关于NFT交易内容的范围界定和审核,以及恶意黑客是否可能通过NFT买卖漏洞利用程序或其他黑客工具的道德问题。

“作为漏洞利用工程师,我将某些漏洞视为艺术品,例如:这是一个有趣的计算机安全漏洞,可导致当下最流行的网络游戏引擎拒绝提供服务,”发布漏洞利用的用户,联合创始人安全公司Hacker House的负责人Matthew Hickey在推文中说。“资产/知识产权将全部转让,买家可以根据需要进行处理。”

该漏洞是ioquake3引擎(一种经典的第一人称射击引擎)中的身份验证后内存损坏漏洞,任何购买该漏洞的人都可以对该游戏引擎发起有效对拒绝服务攻击。但据CoinDesk报道,OpenSea拒绝了Hickey的上架要求。

Hickey透露,他尚未收到OpenSea的回音,并补充说,尽管他认为不应限制某人可以通过NFT出售的数字资产的种类,但他认为NFT还处于发展初期,NFT在信息安全社区中的应用还有待探索。

“我们仍在研究NFT,该技术似乎还处于起步阶段,但是我们确实将其视为一种颠覆性技术,但是与网络安全领域的关系还有待进一步研究。”Hickey说道:“我认为人们应该能够出售的数字资产类型不应该受到任何限制,我认为当前的NFT集中化交换模型应该变成去中心化,以允许此类资产的直接对等转移。真正改变版权、数字版权管理和其他数字版权相关概念。”

Hickey警告说,NFT如果落入不法之徒,则有可能被滥用。

与任何技术一样,NFT可以引发新的犯罪和滥用,就像互联网促进了新的商业活动一样,NFT也将催生新的网络犯罪行为。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2014-07-23 16:50:04

2020-07-15 10:39:26

新能源网络攻击恶意软件

2022-05-25 16:46:01

数据网络

2011-05-27 10:01:17

2021-04-01 06:21:08

人工智能AI

2021-02-01 09:42:00

漏洞攻击ICS

2021-03-30 10:41:48

比特币加密货币货币

2012-06-15 10:35:19

2012-06-06 09:14:45

OracleJavaAPI

2023-09-13 11:29:31

2021-03-22 17:00:15

区块链NFT数字资产

2015-10-22 11:22:53

艺客豆瓣艺术品电商

2020-10-27 09:37:29

黑客网络攻击医疗设备安全

2011-05-25 19:22:45

2021-03-02 10:22:30

AI 数据人工智能

2011-08-04 11:04:15

2012-05-24 10:53:19

云应用安全云计算

2011-04-25 10:13:42

惠普打印机

2023-09-04 09:12:10

设计业务耦合
点赞
收藏

51CTO技术栈公众号