周杰伦价值50万美元的NFT被盗，“NFT防盗”平台该如何作为？

文 | 程念

不是愚人节玩笑。周杰伦价值超过50万美元的NFT被盗了。

4月1日，周杰伦在 Instagram 上发文称，被电话告知自己此前获赠的BAYC #3738 NFT 被钓鱼网站偷了，他以为是愚人节的玩笑，没想到查看后发现真的没了。

据LOOKSRARE信息显示，该NFT被转出后，短短1个小时内便多次转手，并分别以130 ETH、155 ETH 的价格转手交易。以ETH价格计算，周杰伦的被盗的NFT价值超过50万美元，折合人民币超320万元。

类似事件在国外的众多NFT平台上已经出现多次，由此引发的NFT安全、权利人维权等问题也值得思考。本文结合已经报道的有关案例简单分析NFT被盗事件中的权利救济难点，并就平台应如何作为应对这类风险进行说明。

一、NFT是如何被盗的？

1、钱包私钥泄露

今年2月，NFT收藏者larrylawliet.eth在知名NFT在线交易平台Opensea中持有的多款价值不菲的NFT藏品被黑客盗取，Opensea 历史数据显示，上述NFT藏品由larrylawliet.eth的钱包相继向某地址转移。该收藏者表示，NFT被盗的直接原因是由于自己钱包的隐私信息泄漏。^[1]

亚洲最大的专注于DeFi（Decentralised Finance，去中心化的金融）的基金DeFiance Capital的创始人Arthur也遭遇了NFT被盗事件。根据OpenSea的数据，Arthur的钱包地址中共有60枚NFT异常转移。被盗原因尚不确定，但从被盗NFT的移转来看，不能排除是加密钱包信息泄露所致。^[2]

私钥是管理钱包资产的钥匙，一旦泄露，则NFT所具有的安全性就沦为空谈，NFT被盗事件也暴露了加密资产自我管理中的一些漏洞和问题。

2、攻击式黑客入侵

黑客攻击入侵用户账户转移资产是导致NFT被盗的又一重要原因。由于平台本身或者智能合约的代码中存在漏洞，黑客通过攻击漏洞实现对钱包内资产的转移。甚至在许多案例中，受害人由于点击了某个钓鱼链接就遭遇了黑客攻击从而损失大量NFT资产。

前不久，知名的NFT对战游戏《Axie Infinity》的区块链平台Ronin Network宣布：“Ronin Network出现安全漏洞。今天早些时候，我们发现在3月23日，Sky Mavis的Ronin验证节点和 Axie DAO验证节点遭到入侵，导致 173600个以太坊和2550万枚USDC在两笔交易中从Ronin Bridge中流失。” ^[3]

纽约艺术品藏家兼画廊主托德·克拉默（Todd Kramer）也曾发文称因遭遇黑客攻击而使得其持有的15件NFT消失。NFT交易平台OpenSea通过阻止对该系列作品的进一步交易来施加干预。^[4]

3、其他原因：内鬼、平台运营方参与盗窃

平台运营者出现内鬼将系统漏洞等信息泄露，或者平台建立本身是为了从事违法犯罪的活动，也有可能危害平台内用户的数字资产，引发NFT盗窃事件。

二、NFT被盗后为何难以救济？

NFT被盗事件发生后，平台即NFT交易中的有关主体也曾采取措施及时维护受害方的权益。OpenSea通过阻止所涉NFT的进一步交易进行干预，Arthur作为受害人要求将黑客的钱包列入黑名单，而部分交易获得被盗NFT的用户则将交易所得无偿归还受害人。但NFT被盗事件层出不穷，且大部分事件中受害人的损失往往难以得到救济，只能自认倒霉。这又是为什么呢？

第一，盗窃者难以确定。从上述NFT被盗原因中可知，NFT被盗事件，不论是加密钱包私钥等信息泄露，还是黑客攻击行为，都使得盗窃者难以确定。黑客行为较为隐蔽，通过创设空壳钱包、账户，仿冒真实URL地址等行为实现对用户钱包内资产的转移，该转移行为可能转移至“同伙”或者其预设的其他钱包后再进行进一步交易，也有可能直接操纵被害方的钱包，直接转移给其他用户。因此，尽管NFT具有可溯源的特点，区块链上能够记录智能合约执行的完整记录，也无法及时找到盗窃者，使其承担责任。

第二，善意第三人的保护。包括我国在内的许多国家都通过立法确定了善意取得制度，为了打消善意第三人的顾虑，而对其通过善意获得的物的所有权予以保障。NFT交易参考善意第三人的规定，对于所涉已经转手交易的被盗NFT，中间环节的交易主体以及最后持有者都是基于正常的交易方式和交易形式，支付对价并获得该NFT，其有关权益应当得到保障。此时，不能通过直接返还原物的方式来保障被盗的用户。

尽管这些中间交易主体中可能存在恶意取得的人，但存在证明上的障碍。由于NFT交易过程基于智能合约，具有极大的便利性，因此很难证明交易主体在交易过程中存在“恶意”。

同时，针对上述所及部分被盗NFT最后持有人将该NFT无偿归还受害方的方式，只能作为最后持有人自担损失的一种行为，不是也不应成为受害方权利救济的方式。毕竟，这其中，盗窃者不仅没有受到处罚还心安理得拿着这笔违法所得。

综上，目前NFT受害方权利救济困难重重，只能通过报案的方式维护自己的权利。

三、平台应当如何作为？

国内近期头部平台虽然对于二次交易采取了一定的收紧措施，但是国内并未禁止NFT数字藏品的二次交易，且国内目前也存在大量开放二次交易的平台。因此，国内平台运营者需要从国外的案例中及时吸取教训，针对二次交易中可能出现的风险，尤其是应对NFT被盗等涉及刑事犯罪的问题上，有所作为，具体如下：

1、加强网络安全建设，严防系统漏洞。

第一，做好网络安全等级保护，确保系统安全。如NFT平台内所涉用户数量、交易体量及范围达到一定程度，其交易活动的安全涉及公共利益，则按照《信息安全等级保护管理办法》的要求，至少应达到信息系统的安全保护等级二级的要求。平台应当合理评估业务量及影响范围，做好等级保护。

第二，严格按照安全评估的要求，提升应急能力和防攻击能力。平台应严格按照《网络安全法》的要求对系统和软硬件设备进行安全评估，提升应对黑客攻击等突发事件的能力。

第三，加强网络安全人员培训，防止操作失误或内鬼现象。平台应定期开展相关人员的网络安全培训，明确责任，落实到岗。

2、重视平台规则设计，规范交易行为。

第一，提示用户加强账户信息的自我管理。平台用户服务协议内需要提示用户如何加强对账户信息的管理，并且明确提示用户NFT被盗等风险，要求用户使用高强度密码。

第二，落实实名认证规则。部分平台并未要求发行主体和交易主体进行任何形式的实名认证，而依据《互联网用户账号名称管理规定》第五条，互联网信息服务提供者应当按照“后台实名、前台自愿”的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号。因此，平台需要及时完善用户实名认证规则，保障平台内交易安全。

第三，完善交易活动必要的监测机制。当平台内出现异常交易情形时，例如不正常的大量的抛售和快速交易行为进行必要监测，必要时需要用户通过其他验证方式确认本人操作。

第四，增加对异常交易账户的黑名单制度。对于发生异常交易的账户进行黑名单式管理，避免账户被持续用于违法犯罪的活动。

3、与监管部门及时对接与沟通。

NFT盗窃行为，达到法定数额涉嫌犯罪。

平台应坚持黑灰产防范与治理，针对平台内的违法犯罪行为及时向监管部门反馈、举报，并积极协助监管部门的调查活动，协助收集有关证据材料及案件线索。

作者介绍

程念，浙江垦丁律师事务所实习律师，中国政法大学法学硕士（网络法学专业），专注于数据合规、个人信息保护及涉网诉讼、元宇宙与NFT合规等互联网法律实务工作，为多家知名网络公司提供常年法律顾问服务，参与首例5G云游戏侵权案等典型案件的办理，参与撰写《NFT 模式与关键法律问题》《元宇宙与元规则——元宇宙产业及元规则体系建构蓝皮书》《数字藏品平台法律蓝皮书》等报告。

1. 国际新闻网：“我所有的猿猴都丢了！”天价NFT被盗，1000多万元血本无归，发生了什么？，http://xyx.cwan.com/xyx/2022/0202/17498.html，2022年4月2日最后访问。

2. 腾讯新闻：热钱包被盗，60枚NFT没了！Arthur损失超160万美元，https://xw.qq.com/cmsid/20220322A094VI00，2022年4月2日最后访问。

3. 游侠网：NFT游戏《Axie》被黑 价值6.25亿美元加密货币被盗，https://3g.ali213.net/news/html/664719.html，2022年4月2日最后访问。

4. 张雄艺术网：纽托德·克拉默价值220多万美元的NFT藏品被盗，http://www.zxart.cn/Detail/227/132958.html，2022年4月2日最后访问。

声明：本文来自网络法实务圈，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。