警惕NFT安全風險：大戶今晨被盜九只猴子_YLA

2月1日，推特名稱及為larrylawliet.eth的某大戶發推稱，其所持有的多只無聊猿、變異猿、DoodlesNFT意外遭竊，希望Opensea以及LooksRare等NFT交易平臺能夠施以援手。

Opensea歷史數據顯示，larrylawliet.eth在8個小時前相繼向0xd27045a8506369a60a227b44beadb2aed2099d70的地址轉移了10件高價值NFT，其中包括4件BAYC，5件MAYC以及Doodles#6910。

安全提醒：警惕Filecoin RBF假充值攻擊:據慢霧區消息，Filecoin出現“雙花交易”，多家交易所關閉FIL充值通道。慢霧安全團隊對相關信息分析發現，這是一起Filecoin的RBF假充值攻擊事件而非”雙花攻擊“。攻擊者預先發送一筆低gas-feecap的交易，然后通過提高gas-premium和gas-feecap替換原交易（RBF交易），此時RBF交易優先被打包上鏈，舊交易被丟棄，但是由于FilecoinlotusRPC有一個特性，在查詢舊交易的執行狀態時（使用lotusstateexec-trace命令或者通過REST接口Filecoin.StateGetReceipt獲取）返回的是RBF交易的執行狀態，導致交易所對兩筆交易重復入賬。

慢霧安全團隊提醒交易所及相關錢包方，在充值入賬時，需要對比查詢返回結果中的cid與查詢的cid是否一致，并配合ChainGetParentMessages和ChainGetParentReceipts等接口進行查詢對比，避免重復入賬。與此前慢霧區發現的假充值攻擊不同的是，此次攻擊方法更加隱蔽，是由于Filecoin節點特性所引起，交易所及相關錢包方應再次檢查充值入賬程序，除了RBF外，還有常規的To、Value、轉賬類型Method，以及執行結果ExitCode等字段的校驗，必要時可請安全審計公司協助檢測。[2021/3/19 19:00:10]

聲音 | 南方日報：警惕傳銷披上區塊鏈馬甲，相關部門必須有所作為:南方日報今日發文表示，區塊鏈作為一種具有顛覆性的核心技術，具有廣泛的應用場景，但有些人卻動了歪腦筋，利用許多人對區塊鏈的好奇心，把騙術和區塊鏈、數字貨幣“融合”了。所謂新騙術并不新鮮，不過是給原本的傳銷套路披上了區塊鏈、數字貨幣這類新概念的“馬甲”，是換湯不換藥的騙局。發現真相需要穿透層層迷霧，相關部門必須有所作為。值得注意的是，傳銷的受害者也有違法犯罪的危險。國家相關部門負責人曾就《禁止傳銷條例》明確：“對多次參加、屢教不改，雖不屬于骨干分子，但又確實誘騙他人并給他人造成損失的傳銷參加者，由工商部門責令停止違法活動，可處2000元以下的罰款。”可見，如果意識到自己被騙，卻為虎作倀想多拉一些人墊背，也有可能被追究責任。[2019/11/20]

依照BAYC118.68ETH、MAYC25.2ETH、Doodles16.28ETH的實時地板價計算，這批失竊的NFT總價值約為617ETH，不過，考慮到這些NFT中有著較多稀有款，比如BAYC#1606這樣的激光眼猿猴，這些NFT的總價值實際上遠不止該數字。目前，Opensea已針對這起安全事件給出了風險警示，larrylawliet.eth的地址及相關NFT已被加紅標記，0xd27045地址的賬戶主界面則已無法查看。過去一段時間，關于OpenSea異常價格出售的BUG引發了業界廣泛關注。該BUG會導致一些高價值NFT以過去的價格被錯誤銷售，比如，某人過去曾以幾千美元的價格掛出過一個BAYC，在未取消報價之時便將其轉移到了另一個錢包，當他們將該NFT轉移回曾經的掛單錢包時，過去的掛單仍會觸發。這一BUG導致諸多用戶在未曾預料的情況下蒙受損失，Opensea也因此招來了大量非議。不過，larrylawliet.eth這次的失竊事情卻與Opensea沒有什么關系。根據larrylawliet.eth本人在推特上的說法，造成本次失竊的直接原因是，一家名為MoshiMochi的NFT項目的discord此前遭黑客攻擊，黑客在官方頻道內發布了一個Mint鏈接，larrylawliet.eth通過該虛假鏈接鑄造了大量NFT，但在此同時也泄漏了自己的錢包隱私信息。

動態 | GEC虛擬幣項目存在詐騙嫌疑 當地民警提醒群眾保持警惕:據國際金融報消息，近期有記者發現一個名為GEC（Global Ecommerce Coin，全球電子商務幣）的虛擬幣存在詐騙嫌疑。據悉，GEC幣從引導到交易都具有較高的隱蔽性，不論是錢包鏈接還是交易平臺的鏈接只能在移動端打開，通過微信電腦版無法打開上述鏈接。在未注冊之前，記者通過國內的搜索引擎也無法搜索到該交易平臺。此外，由始至終，記者能接觸到的除了熟人小組長外，就只有一個隱藏在微信中名叫“女酋長”的大組長，其他操作都由機器人完成。小組長和大組長會引導潛在投資人通過“GECCEX”交易平臺進行GEC幣買賣。GEC幣號稱對應的是實體電商平臺的股權，如果不通過正規渠道融資，股權也是虛假的，最后投資人會買到虛假股權，后續會引發很多的法律糾紛。GEC幣項目運營主體所在地的上海市局徐匯分局的民警表示，未聽說相關GEC項目，對于類似虛擬幣項目，請保持警惕，發現虛假，詐騙情形請及時報警。[2018/12/3]

截至發文，larrylawliet.eth仍在呼吁那些從黑客手中買走了自己的NFT的人能夠與他取得聯系，看起來似乎是想再把這些NFT買回來。值得一提的是，BAYC#9138在失竊之后，被以0x62bdc6開頭的地址以100ETH的價格買入，隨后經過中轉地址又轉回了larrylawliet.eth的地址內。目前，尚不清楚這一操作具體是由誰在執行，但這種將資產至于已暴露地址中的行為顯然不是妥善之法。

事態仍在繼續發展中，Odaily星球日報將密切關注后續進展。

Tags：ETHNFTYLALAWethylmaltolPARADOX NFT BSCCANDYLADLAW幣

TUSD