
「良心」黑客盜賣我的 NFT,只留下 10% 資產作為「辛苦費」
TechFlow Selected深潮精選

「良心」黑客盜賣我的 NFT,只留下 10% 資產作為「辛苦費」
短短兩天,NFT Trader 和 Flooring Protocol 接連被盜。
撰文:夫如何
編輯:秦曉峰
近期,兩起針對 NFT 協議合約的惡意攻擊受到市場關注——NFT Trader 和 Flooring Protocol 分別於 16 日以及 17 日受到黑客攻擊,Odaily 星球日報對此進行了回顧。
鏈上信息顯示, 12 月 16 日, 37 枚 BAYC 及 13 枚 MAYC 被轉入一特定地址,NFT Trader 疑似被攻擊。隨後 NFT 巨鯨 dingaling 發文稱,NFT Trader 的 Batch Swap 合約遭到攻擊。

攻擊消息很快得到 NFT Trader 證實。官方稱,黑客針對兩個舊智能合約進行惡意代碼攻擊,導致 37 枚 BAYC 及 13 枚 MAYC 被盜走,共計損失約 400 萬美金。

按照過往經驗,後續的故事情節要不然是項目方自認倒黴賠償用戶,要不然是項目方與黑客商量退款。而這次的黑客非常有覺悟,直接跨過了與項目方溝通的流程,直接倒賣了盜竊所得 NFT 並留下部分資金作為「賞金」。
一位黑客在鏈上留言稱,表示自己並非本次的攻擊者,並透露最初攻擊者是尾號「bd46」的地址,自嘲自己只是在後面「撿垃圾」。同時該黑客還表示,自己只需要 10% 賞金,就可以歸還 NFT,並以每個 BAYC 30 ETH 和 MAYC 6 ETH 計算金額。此後,黑客將一個 BAYC 在 Blur 中出售獲得 35 ETH,自己留下了 4 ETH,剩餘的 ETH 還給了 NFT 持有者。

聽起來這像是「有良心」黑客的故事——賣受害者 NFT,只拿走賞金,剩餘再還給受害者,但這並不能成為為其開脫的理由。
很快,就有用戶提供了一個找回被盜 NFT 的方法。@0xQuit 發文稱,通過對黑客手中 NFT 的地址分析,多個 NFT 地址對 NFT Trader 授權,通過逆向找回的方式,可以黑客手中的 NFT 再拿回來。

該方法也得到項目方的認可,最終成功追回被盜資產。ApecoinDAO 所資助的安全公益組織 Boring Security 發文表示,被盜的 36 個 BAYC 和 18 個 MAYC 已經找回(部分被盜的已經出售),將向黑客提供 10% 的賞金,並將 NFT 免費送還給受害者。
至此,NFT Trader 的 NFT 被盜事件暫時畫上了一個句號,受害者損失並不大。就在 NFT Trader 事件結束前幾個小時,另外一個 NFT 協議 Flooring Protocol 也遭遇黑客攻擊。
Delegate 創始人 foobar 在 X 平臺發文表示,Flooring Protocol 被盜走了 14 個 BAYC 和 36 個 Pudgy Penguins 。隨後黑客在 Blur 以遠低於地板價的價格開始「甩賣」,BAYC 上架價格為 26.2 ETH, Pudgy Penguins 上架價格為 9.2 ETH,共計獲得近 168 萬美元,全部進入黑客口袋。

Flooring Protocol 和 NFT Trader 雖然都是受到了攻擊,但受害者的處境卻天差地別,只能說 NFT Trader 的受害者是幸運的。但短短兩天接連被盜事件,還是應該為大家敲響了警鐘。
慢霧創始人餘弦在提醒稱:「如果大家在 EVM 鏈有重要資產,檢查與取消重要資產的授權 ( 尤其是無限授權 ),沒人可以 100% 肯定再知名的協議不會出安全問題。」
歡迎加入深潮 TechFlow 官方社群
Telegram 訂閱群:https://t.me/TechFlowDaily
Twitter 官方帳號:https://x.com/TechFlowPost
Twitter 英文帳號:https://x.com/BlockFlow_News









