2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。
次日,OpenSea的CEO Devin Finzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。
用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。
2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。
Trident Discord遭黑客攻擊后現已恢復:金色財經報道,Arbitrum生態鏈游Trident的Discord今日晚間曾一度遭黑客攻擊,現已恢復正常。
Trident表示,雖然似乎沒有用戶受到損失,但受黑客攻擊影響Discord內丟失了大量記錄。Trident將在本周的某個未知時刻向經受了該事件的社區用戶分發POAP紀念,屆時審領窗口將僅開放三個小時。[2023/2/10 11:58:01]
2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。
2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。
韓國國會已提交6項與虛擬貨幣相關的法案,包括黑客攻擊損失的賠償責任等內容:韓國國會已提交多項與虛擬貨幣相關的法案,包括禁止利用未公開信息操縱市場和交易,規范經營者因黑客入侵等事故造成的損害的賠償責任,以及發行虛擬貨幣的要求。30日,據韓國國會議案信息系統透露,以保護虛擬貨幣(虛擬資產)投資者為主題的法案共有6件。議員李勇宇、金炳旭和楊京淑分別提出了《虛擬資產產業法》、《虛擬資產產業發展和用戶保護法》和《虛擬資產交易法》。議員姜敏國提交《電子金融交易法》修訂案,朱煥周提交《關于特定金融交易信息的報告及利用等法律(特別法案)》修訂案。這些法案的共同點是“任何人都不得操縱市場價格”。
此外,向國會提交的5個法案要求虛擬資產交易商必須注冊或獲得金融服務委員會批準。從通知、注冊和批準的順序來看,準入門檻很高。(韓聯社)[2021/5/30 22:56:55]
從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具Tornado Cash「洗幣」的操作。
動態 | Tron Lounge DApp合約遭黑客發起交易回滾攻擊:PeckShield安全盾風控平臺DAppShield監測到今日凌晨00點至03點期間,TFNsSk地址開頭的黑客通過自創建的合約對波場TR3n2D開頭的Tron Lounge DApp合約發起交易回滾攻擊,截至目前已獲利54,653個TRX。PeckShield發現Tron Lounge合約于12月05日剛上線不久,目前尚有玩家不斷投注,建議游戲項目方盡快修復此漏洞,避免造成更大的損失。 此前PeckShield已經披露多起波場DApp遭交易回滾攻擊事件。PeckShield在此提醒,DApp開發者應警惕此類交易回滾攻擊的持續蔓延,過濾合約玩家,并及時聯系安全廠商,避免造成更大的數字資產損失。[2019/12/6]
倫敦沒收一黑客價值66.7萬美元的BTC:據Seattletimes消息,倫敦網絡犯罪偵查人員從黑客Grant West手中獲得價值66.7萬美元的BTC。Grant West在全球范圍內進行網絡攻擊,利用釣魚郵件詐騙多家公司財務數據,將數據出售后的利潤換為BTC。5月25日該黑客因網絡攻擊被判處10年零8個月監禁,從其手中獲得價值66.7萬美元的BTC。[2018/5/25]
黑客鏈上地址的部分動向
用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。
直到2月20日,OpenSea的CEO Devin Finzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer 駁斥了「價值2 億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT 獲得了價值170?萬美元的ETH。
區塊鏈安全審計機構 PeckShield 列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland 的資產和NFT頭像「無聊猿」Bored Ape Yacht Club等。該機構還披露,黑客利用Tornado Cash清洗了1100 ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。
用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。
對此,Devin Finzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea 鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約(Wyvern 2.3 合約)不是攻擊的載體;使用 OpenSea 上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。
簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。
截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。
推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的 Wyvern 訂單」,因為除了攻擊者合約和調用數據(calldata)之外,訂單基本上是空的,攻擊者簽署了另一半訂單。
該攻擊似乎利用了Wyvern 協議的靈活性,這個協議是大多數 NFT 智能合約(包括在 OpenSea上制定合約)的基礎開源標準,OpenSea 會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。
按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移 NFT 的所有權。
簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。
也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern 2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。
截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序(Ethereum Token Approval)上取消自己的NFT授權。
虛擬現實技術“天生”適合運用于心理治療。 核心內容 虛擬現實技術以其可提供的沉浸感、私密性、靈活性等特點提供了更好的心理治療環境;VR設備與技術和心理研究資源是主要的競爭壁壘;虛擬現實技術或是國.
1900/1/1 0:00:00對于 Andreessen Horowit 基金(簡稱 a16z)來說,2021 年是具有里程碑意義的一年.
1900/1/1 0:00:00金色財經 區塊鏈2月21日訊 2022北京冬奧會成功結束了,本屆冬奧會除了給我們呈現出了精彩的比賽之外,還帶火了吉祥物冰墩墩。而趁著NFT熱潮,冰墩墩官方數字盲盒NFT也已開始發售.
1900/1/1 0:00:00尋求使當地法律符合 FATF 標準南非財政部表示,這些提案將把加密資產服務提供商作為問責機構納入《金融情報中心(FIC)法案》,預計將于今年定稿.
1900/1/1 0:00:002022年1月,NBER發表工作論文《Making Money》,論文指出:對于私人代理來說,很難在不被質疑的情況下創造出同等流通的貨幣.
1900/1/1 0:00:00又到了每月安全盤點時刻!據成都鏈安【鏈必應-區塊鏈安全態勢感知平臺】安全輿情監控數據顯示:2022年2月,各類安全事件仍然時有發生,2月發生較典型安全事件超『20』起.
1900/1/1 0:00:00