以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > FTX > Info

一文了解黑客釣魚攻擊閃襲OpenSea用戶始末_OPEN:BlockChain Search Artifacts

Author:

Time:1900/1/1 0:00:00

原標題|黑客釣魚攻擊閃襲OpenSea用戶

作者|茉莉

2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。

次日,OpenSea的CEODevinFinzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。

用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。

Treasure旗下項目官推被盜,目前已被尋回:7月25日消息,據Arbitrum網絡去中心化游戲生態系統Treasure官方消息,Play on Treasure和Bridgeworld官方推特賬號被盜,請勿與其發布的釣魚鏈接互動,正在努力重新獲得訪問權限。今日沒有空投、新鑄造的TreasureTags或任何其他計劃。

截至發文時,最新消息顯示已重新獲得賬號訪問權限,用戶需持續保持高度警惕并注意資產安全。[2023/7/25 15:57:33]

2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。

OpenSea用戶遭「釣魚」丟失NFT

2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。

阿里版ChatGPT內測已在進行:4月4日消息,知情人士表示,2023阿里云峰會將于4月11日在北京召開,包括阿里巴巴董事局主席兼CEO張勇,阿里云智能首席技術官周靖人、阿里云智能全球商業總裁蔡英華在內的主要負責人將出席主論壇。2023阿里云峰會上將正式推出阿里大模型,接下來還有各類的行業應用類模型會面世。阿里11日推出大模型,18日推出行業應用類模型。之前,有博主測試了天貓精靈,發現已經上線了阿里版ChatGPT語音助手版。 (錢江晚報)[2023/4/4 13:44:11]

2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。

從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具TornadoCash「洗幣」的操作。

BestChange:FTX的崩潰或將引發對加密OTC服務的更大需求,去中心化將在明年加速開發:12月27日消息,俄羅斯OTC加密貨幣交易所聚合商BestChange首席分析師Nikita Zuborev表示,FTX的崩潰可能會引發對加密OTC服務的更大需求,因為由于對CEX的信任度減弱,投資者正在尋找替代方法來轉換法幣。此外,他還表示受FTX崩盤的影響,去中心化和去中心化應用程序的開發將在2023年加速。[2022/12/27 22:10:54]

黑客鏈上地址的部分動向

用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。

直到2月20日,OpenSea的CEODevinFinzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer駁斥了「價值2億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT獲得了價值170?萬美元的ETH。

日本福岡市市長訪問Ripple總部:金色財經報道,據 Ripple 企業戰略和運營副總裁 Emi Yoshikawa 在社交媒體披露,日本福岡市市長高島宗一郎(Soichiro Takashima)最近訪問 Ripple 總部。據 Emi Yoshikawa 稱,福岡是日本倡議推動 Web3 的頭部城市,未來福岡市有望進一步推動 Web3 開發。據悉,Ripple 已經在日本推出首個按需流動性(ODL)服務項目,而且還與當地最大匯款服務提供商 SBI Remit、SBI VC 以及菲律賓的 Coins.ph 達成合作,推動日本和菲律賓的跨境匯款業務。[2022/8/21 12:38:05]

區塊鏈安全審計機構PeckShield列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland的資產和NFT頭像「無聊猿」BoredApeYachtClub等。該機構還披露,黑客利用TornadoCash清洗了1100ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。

攻擊者如何拿到用戶「簽單」授權?

用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。

對此,DevinFinzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約不是攻擊的載體;使用OpenSea上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。

簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。

截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。

推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的Wyvern訂單」,因為除了攻擊者合約和調用數據之外,訂單基本上是空的,攻擊者簽署了另一半訂單。

該攻擊似乎利用了Wyvern協議的靈活性,這個協議是大多數NFT智能合約的基礎開源標準,OpenSea會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。

按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移NFT的所有權。

簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。

也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。

截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序上取消自己的NFT授權。

Tags:PENENSSEAOPENOPENXens幣是不是騙局BlockChain Search ArtifactsOPENX幣

FTX
高能開年 金色虎年送路虎全攻略_區塊鏈:HOODRAT

迎新年,納新福,金色財經“虎年開新禮”活動正在進行中,1月24日-1月30日與大家一同恭賀新春,喜迎虎年.

1900/1/1 0:00:00
Messari:詳解算法穩定幣項目 Frax Finance 運作機制與發展現狀_FXS:Fragmint

作者:RyanMalden,Messari原標題:《FRAX:AFractional-AlgorithmicStablecoin》編譯:Web3erLiu.

1900/1/1 0:00:00
阿爾茨海默癥已嚴重危害到人類的健康 尋求治療方法刻不容緩_ANKR:區塊鏈幣在中國合法嗎

據日本《GenestoCells》雜志報道,2021年7月6日,鶴松醫藥研究小組成功完成nmn可有效預防和治療AD神經退行性疾病,此可能成為神經退行性疾病的有效臨床治療方案.

1900/1/1 0:00:00
文明簡史:DAO能否打破人類文明演變的歷史循環?_ING:Doges Spirited Howling Castle Game

原文標題:《文明簡史:去中心化城市和中心化國家》作者:JonHillis?翻譯:RebeccaWONG?推進文明發展的方式只有兩種:捆綁和拆分.

1900/1/1 0:00:00
經濟學人:Web3會重塑互聯商業嗎?_WEB:web3.0幣種

本文來自微信公眾號老雅痞,金色報經授權轉載發布。在某些方面,是的。但可能不會像現在鼓吹的那些。莫克西-馬林斯派克創造了一種不可偽造的代幣.

1900/1/1 0:00:00
揭秘跨鏈過程:當你在進行跨鏈時,資產真的轉移了么?_USDC:Ganymede

撰文:0x76@BlockBeats隨著越來越多新公鏈的上線,用戶進行資產跨鏈的需求也同步增長。這種趨勢在帶火了一眾跨鏈橋項目后,經由各種跨鏈橋鑄造的資產數量也急劇增長.

1900/1/1 0:00:00
ads