有名人の100万ドル相当のNFTが盗まれた。最も強力な暗号化でさえソーシャルエンジニアリングに耐えられないというのは本当ですか?

4月2日、ジェイ・チョウは自身のNFTが盗まれたことをインスタグラムに投稿し、NFTはすぐに国内のソーシャルネットワーキングサイトで話題の中心となった。

画像出典: ジェイ・チョウのインスタグラム

昨年3月以来、アーティストBeepleのNFT絵画「Everydays: The First 5000 Days」が6,937万ドルという高値で販売され、NFTは急速に人気を博した。

今年の北京冬季オリンピック期間中、Bing Dwen DwenのNFTデジタルコレクションの価格が1000倍近くまで急騰し、数え切れないほどの人々が購入に殺到した。

NFT 業界の人気は「前例のない」ものと言えるでしょう。 Baidu Indexを開いて「NFT」というキーワードで検索すると、過去30日間で検索指数の1日平均が12870に達し、情報指数の1日平均が73708を超えていることがわかります。Baidu Indexが500を超えるということは、注目度の高いコンテンツであることを意味するので注意が必要です。

話題のNFTは急速に世間の注目を集めています。

NFTとは何ですか?

NFT は非常に人気があり、多くのネットユーザーが「NFT とは何ですか?」と尋ねたがります。

この機会に皆さんとお話しさせていただきたいと思います。

NFT の完全な英語名は Non-Fungible Tokens で、中国語では一般的に「非代替性トークン/非交換性トークン」と翻訳されます。

画像出典: Wikipedia

これは、ビデオ、オーディオ、画像、アートワーク、ゲーム小道具などのデジタル資産、つまり固有の暗号化されたトークンを表すために使用され、ブロックチェーンへのエントリです。ビットコインで NFT を購入することは、人民元で絵画を購入したり、ゲームコインでアイテムを購入したりするのと同じであり、偽造防止マークも付いていると想像してみてください。これは分かりやすいと思いませんか？

もちろん、この説明はあまり正確ではありません。 NFT はデジタル製品そのものを表すものではなく、購入者による作品の所有権の証明書です。お金を払って写真の NFT を購入することができます。このアクションはチェーンに記録され、私がこの写真の永久所有者であることを証明します。さらに、NFT は 2 度目の取引、再販、他の人への譲渡も可能です。

このコンセプトが発表されるとすぐに、ジェイ・チョウの猿など多くの有名人がそれを求めました。同シリーズに青毛の猿もいます。バスケットボールが好きな友達がいるなら、その友達はNBA選手カリーが18万ドルで購入したNFTである以下のアバターを使ったことがあるかもしれません。

カリーの退屈な猿のアバター、画像出典: カリーのインスタグラム

カリーはプロフィール写真を購入するために18万ドルを費やした。右クリックして保存しました。純利益は18万ドルになりましたか?はい、冗談です。

この写真はコピーして保存できましたが、この青い猿の本当の飼い主はカリーです。現実世界の芸術作品と同様に、ゴッホの絵画「花瓶の中の15本のひまわり」の1:1レプリカやポスターは誰でも所有できますが、真のオリジナル作品は1つしかなく、それはたった1人の人の手の中にあります。

NFTは非常に価値があります。ジェイ・チョウとカリーが参加したBored Apeプロジェクトは、世界で最も人気のあるNFTの1つです。ネットワーク全体での単一アイテムの現在の最低価格は 108 イーサリアムで、これは 350,000 米ドルに相当します。ジェイ・チョウの盗まれた「Bored Ape」の価値は約42万ドル。昨年 4 月に Bored Ape プロジェクトが初めて開始されたとき、これらのサルの写真の価格はわずか 200 ドルだったことを知っておく必要があります。 1年も経たないうちに価格は約2,000倍に上昇した。

データエージェンシーNonfungibleの統計によると、NFT取引の規模は2021年に140億米ドルに達し、2022年には海外NFT市場の取引記録が220億米ドルに達すると予測されています。

なぜ盗まれたのですか?

NFT の巨大な付加価値空間と成長傾向は、多数の個人投資家を市場に参加させるだけでなく、ブラックマーケットのギャングが準備する原因にもなりました。

ブラック業界のギャングは、一般的に 2 つの方法でユーザー情報を盗みます。 1 つは、ビジネスシステムを直接攻撃することです。もう 1 つは、一般ユーザーをターゲットにして、トロイの木馬やウイルスを使用してユーザーの機密データを直接傍受したり、フィッシング Web サイトを通じてユーザーを騙して情報を渡させたりすることです。

たとえば、ジェイ・チョウの NFT を盗みたい場合は、ビジネスシステムを直接攻撃してアカウントとパスワードを取得できます。ジェイ・チョウの NFT は Ethereum ウォレットに保存されているため、サルの NFT を盗むには、まず彼の Ethereum キーを解読する必要があります。

Ethereum キーは 256 ビットの 2 進数の文字列です。各数字には 2 つの可能性 (0 または 1) があります。 256 個の数字すべてを正しく推測するには、最大 2²⁵⁶ 回の総当たり攻撃を実行する必要があります。

この数字はどれくらい大きいのでしょうか? 2²⁵⁶=1800億兆*1800億兆兆*1800億兆兆*1800億兆兆。

このような膨大な数字は、スーパーコンピュータを使った総当たり攻撃でも解読することは不可能です。明らかに、ブラックマーケットチームがそのような無謀な行動をとることは不可能です。

最も簡単に成功する方法の 2 つ目は、IT 以外の手段による詐欺、つまり、通信を通じて被害者にセキュリティ認証を通過させ、機密情報を侵害することです。

通信詐欺と同様に、よく訓練された詐欺グループは、まず欺瞞的なレトリックを通じて緊張感を作り出します。次に、実際のプラットフォームを装ったテキストメッセージのリンクまたは URL が携帯電話に送信されます。それをクリックしてアカウントとパスワードを入力し、その他の操作を実行すると、機密データが詐欺グループに完全に公開されます。

画像出典: Wikipedia

ジェイ・チョウは偽装したフィッシングサイトに誘い込まれ、口座番号とパスワードを入力し、最終的に盗難に遭った。

海外メディアの報道によると、Boring Apeを含む複数のNFTプロジェクトが4月1日にハッカーの攻撃を受けた。彼らはいずれもユーザーにデータを開示するよう誘導するフィッシング情報を公開したが、被害を受けたユーザーの数は明らかではない。

メディアの調査によると、複数の主流のNFTプロジェクトへの攻撃には2つの暗号通貨ウォレットアドレスが関与しており、フィッシング攻撃で盗まれた資産は最終的に異常にアクティブな暗号通貨ウォレットアドレスに流れたとのことです。ウォレットには合計1,447イーサリアム（約500万ドル相当）、600万テザー（約600万ドル相当）、その他多数の暗号通貨が含まれていました。

ジェイ・チョウのNFT盗難事件が話題になったという事実も、NTFは高い収益と高度な暗号化方式を備えているが、盗難コストは極めて低いことを証明している。

盗難を防ぐには？

暗号化方式がいかに強力であっても、ソーシャルエンジニアリングに勝つことはできません。価格が高騰するにつれ、ハッカーによる盗難のリスクも高まっています。損失を避けたいのであれば、予防策を強化するのは自分自身に頼るしかありません。

まず、さまざまな派手なパッケージングが施された Web サイトを扱うときは、それらを慎重に識別し、開く URL のドメイン名が本物であることを確認する必要があります。

2 つ目: 個人の暗号通貨ウォレットの秘密鍵とニーモニックは変更できず、Ethereum アドレスは匿名であるため、鍵が漏洩するとウォレットが使用できなくなるだけでなく、ハッカーが誰であるかを見つけることもできなくなります。秘密鍵や回復フレーズを公開しないことが重要です。

3 つ目: ウォレットが誤って偽の Web サイトで承認された場合は、すぐに承認を取り消してください。

覚えておくべき最も重要なことは、ブロックチェーン分野は現在我が国の法律によって保護されていないということです。一度盗まれてしまうと、誰も取り戻すことはできません。

►►►

監査専門家：情報セキュリティ分野の上級専門家、Tan Jianfeng。

終わり

Tadpole Musical Notation オリジナル記事、転載の際は出典を明記してください

編集者/イー・シャン・ヤン・ユー・ゾウ・ジャン・フー