原創 | Odaily星球日報

作者 | 夫如何

近期，兩起針對 NFT 協議合約的惡意攻擊受到市場關注——NFT Trader 和 Flooring Protocol 分別于 16 日以及 17 日受到黑客攻擊，Odaily星球日報對此進行了回顧。

鏈上信息顯示， 12 月 16 日， 37 枚 BAYC 及 13 枚 MAYC 被轉入一特定地址，NFT Trader 疑似被攻擊。隨后 NFT 巨鯨 dingaling 發文稱，NFT Trader 的 Batch Swap 合約遭到攻擊。

攻擊消息很快得到 NFT Trader 證實。官方稱，黑客針對兩個舊智能合約進行惡意代碼攻擊，導致 37 枚 BAYC 及 13 枚 MAYC 被盜走，共計損失約 400 萬美金。

按照過往經驗，后續的故事情節要不然是項目方自認倒霉賠償用戶，要不然是項目方與黑客商量退款。而這次的黑客非常有覺悟，直接跨過了與項目方溝通的流程，直接倒賣了盜竊所得 NFT 并留下部分資金作為“賞金”。

一位黑客在鏈上留言稱，表示自己并非本次的攻擊者，并透露最初攻擊者是尾號“bd46”的地址，自嘲自己只是在后面“撿垃圾”。同時該黑客還表示，自己只需要 10% 賞金，就可以歸還 NFT，并以每個 BAYC 30 ETH 和 MAYC 6 ETH 計算金額。此后，黑客將一個 BAYC 在 Blur 中出售獲得 35 ETH，自己留下了 4 ETH，剩余的 ETH 還給了 NFT 持有者。

聽起來這像是“有良心”黑客的故事——賣受害者 NFT，只拿走賞金，剩余再還給受害者，但這并不能成為為其開脫的理由。

很快，就有用戶提供了一個找回被盜 NFT 的方法。@0xQuit 發文稱，通過對黑客手中 NFT 的地址分析，多個 NFT 地址對 NFT Trader 授權，通過逆向找回的方式，可以黑客手中的 NFT 再拿回來。

該方法也得到項目方的認可，最終成功追回被盜資產。ApecoinDAO 所資助的安全公益組織 Boring Security 發文表示，被盜的 36 個 BAYC 和 18 個 MAYC 已經找回（部分被盜的已經出售），將向黑客提供 10% 的賞金，并將 NFT 免費送還給受害者。

至此，NFT Trader 的 NFT 被盜事件暫時畫上了一個句號，受害者損失并不大。就在 NFT Trader 事件結束前幾個小時，另外一個 NFT 協議 Flooring Protocol 也遭遇黑客攻擊。

Delegate 創始人 foobar 在 X 平臺發文表示，Flooring Protocol 被盜走了 14 個 BAYC 和 36 個 Pudgy Penguins。隨后黑客在 Blur 以遠低于地板價的價格開始“甩賣”，BAYC 上架價格為 26.2 ETH， Pudgy Penguins 上架價格為 9.2 ETH，共計獲得近 168 萬美元，全部進入黑客口袋。

Flooring Protocol 和 NFT Trader 雖然都是受到了攻擊，但受害者的處境卻天差地別，只能說 NFT Trader 的受害者是幸運的。但短短兩天接連被盜事件，還是應該為大家敲響了警鐘。

慢霧創始人余弦在提醒稱：”如果大家在 EVM 鏈有重要資產，檢查與取消重要資產的授權(尤其是無限授權)，沒人可以 100% 肯定再知名的協議不會出安全問題。“

Odaily星球日報提醒大家，不要輕易點擊任何陌生鏈接，定期清理錢包授權。