Buidler DAO：如何在钱包被盗后从黑客手里抢救 NFT？

随着美联储不断加息缩表，加密市场流动性不断减少，市场活跃度持续低迷进入熊市。作为市场上仅剩的这些“流动性”也就是我们这些韭菜的钱包也成为了骗子们虎视眈眈的对象。加密世界是个黑暗森林， Crypto 带来财产所有权的同时也意味着一旦财产丢失或私钥泄露是几乎没有任何法律途径或方法可以挽回。

为什么写这篇文章呢？

因为菠菜的钱包被盗了，资产几乎被洗劫一空，讽刺的是，作为一个写过钱包安全相关的科普文章的老韭菜也翻车了。

虽然失去了陪伴许久的钱包和内部资产，但遭遇这件事情后菠菜真真切切感受到了社区的温暖，并且得到了许多“家人们”的关心和帮助，甚至在社区一位小伙伴的帮助下在黑客手里抢救回来了近30个侥幸存活下来的 NFT（不是已经被盗走的 NFT）。虽然损失的资产无法找回了，但在本次“菠菜钱包被盗事件”中，有许多经历是可以科普的，希望这篇文章可以给行业提供一个受害活案例并给其他小伙伴敲响警钟，防止“惨案”再次发生。

我的钱包是如何被盗的？

某天，推特上有一个人私信我，起初我并没有提起警觉，因为骗子的 Twitter 账号看起来像是一个正常用户。开始只是进行了一些闲聊，之后他开始问我是否愿意为 cheelee 这个项目输出内容并支付我报酬，且索要了一些我的作品进行验证，于是我把我的 telegram 给到了他，之后便在 telegram 上给我发了关于如何输出内容的一些细节和两个文件。下载并点击文件后什么都没有发生便意识到不对劲，于是打开小狐狸查看，不出所料，钱包被盗，所有的资产都被盗走，NFT 也被直接卖给 offer 换成 ETH 转移。（只能说菠菜想赚点外快大意了，其实陌生人在 tg 上发文件的时候就应该警惕起来的）。

黑客是如何拿到我私钥的？

我的私钥加密保存在 Chrome 的小狐狸中，黑客是如何获取到我的私钥的？这得从 Chrome 这个浏览器说起：你敢想象吗？这个占据着全球66%市场份额的 Chrome 浏览器居然存在一个巨大的安全漏洞！这个漏洞是什么呢？如果你在下图路径打开你的 Chrome 浏览器的 Default 文件夹，你会发现一个叫 Login Data 的文件，这个文件存储着你在 Chrome 上保存的每一个密码，但如果你想直接打开去读它的话你会发现它是不可读的，显示的是一堆乱码，因为这个文件被 AES 算法加密过，暴力破解需要破到天荒地老，那么其实你在 Chrome 上保存的密码都是十分安全的，但问题出在哪？

如果你再往前翻一个目录在 User Data 中你会发现这样一个文件叫 Local State，如果你打开他之后在里面搜索“encrypted”，你会发现后面有一串密钥，这个密钥是什么？就是需要暴力破解几百年才能破解的 Login Data AES 算法解密的密钥串！！！这真是离谱他妈给离谱开门，离谱到家了！这相当于什么？

相当于你用世界上最坚固的材料做了一个牢不可破的保险柜存放密码但你却把保险柜钥匙放在保险柜旁边，贼进来就直接拿着钥匙打开保险柜了！并且这串密钥串还是通过 Windows 系统本身的密码生成工具生成的，与生成的电脑 ID 是唯一绑定关系，也就是说加密解密都只能在这台电脑上进行，Chrome 把解密的密钥串就这么明文保存在了本地，这样黑客只需要拿着密钥串进行解密就可以拿到我的所有密码。

MetaMask 的密码并不保存在 Chrome 的密码文件中，为什么我的私钥会泄露呢？因为我的 MetaMask 用的密码跟我的习惯密码是一个密码，黑客拿到了习惯密码后进入 MetaMask 还不是分分钟的事情，于是乎，我的私钥泄露了。不仅如此，所有存在 Chrome 浏览器上的账户都泄露了，甚至 Twitter 和 Google 账户全部遭到了冻结。

我是如何在黑客手里抢救 NFT 的？

在钱包被盗后，黑客在 OpenSea 上卖出了所有带有 offer 的 NFT 并转移走了所有的资金，万幸的是有一些 NFT 幸存了下来，其中除了 ENS 和一些没 offer 的 NFT 外，有一个刚 mint 不久的 DeBox 小蛇没有被卖掉，可能因为 Opensea 上存在一些 BUG，这个 NFT 是我另外一个白单地址 mint 完后转过去的，不知道什么原因没有被显示出来，这使得它逃过了一劫，于是乎当我尝试往钱包中转 gas 的时候，我发现我的钱包遭遇了“清道夫攻击”，也可以称为抢 gas 机器人，我转进去的 Gas 费被瞬间转走了！