OpenSea遭遇釣魚攻擊 波及資產超170萬美元_OPEN:NFT

NFT安全問題再受矚目

昨晚，有報道稱NFT收集者一直在從錢包中丟失NFT和以太坊，OpenSea疑似遭到網絡釣魚攻擊瞬間成為大眾密切關注的話題。

OpenSea首席執行官Devin Finzer及時對涉嫌網絡釣魚詐騙作出回應，本次網絡釣魚攻擊波及的資產總額達640 ETH（約合170萬美元），相關NFT已經在被標記為“Fake_Phishing5169”的錢包之中。

據鏈上數據顯示，該惡意錢包于去年12月進行了第一筆交易，但網絡釣魚攻擊在昨天才開始。此外，該錢包還一直在與另一個被標記為OpenSea網絡釣魚詐騙的錢包（標記為“Fake_Phishing5176”）進行交互。

0xScope：0xa54d地址從0xc49a處接收360萬枚RLB和210萬枚BITCOIN，疑似關聯地址:金色財經報道，據0xScope監測數據，3小時內，0xa54d開頭地址的PEPE巨鯨從0xc49a開頭地址處收到了360萬枚RLB（55.7萬美元）和210萬枚BITCOIN（20.3萬美元），引起了人們對這兩個地址相關聯的懷疑。

0xa54d在RLB持有者中排名第六，在BITCOIN持有者中排名第二。0xc49a仍持有310萬枚Unibot，位居第四。[2023/8/10 16:18:19]

在過去的24小時內，大量來自底價高的收藏的NFT被轉移，例如Bored Ape Yacht Club NFT、Cool Cats、Doodles和Azuki NFT。Fake_Phishing5169地址還通過競爭對手NFT市場Rarible和LooksRare進行了交易。

DeFi借貸協議OpenLeverage：關于“將協議部署至Arbitrum”的提案已獲投票通過:2月10日，據官方消息，DeFi借貸協議OpenLeverage發推稱，將協議部署至Arbitrum的提案已獲投票通過。

提案稱，OpenLeverage作為多鏈無許可保證金交易協議，應部署在Arbitrum上，以幫助用戶獲得更多的交易機會。[2023/2/10 11:59:40]

對于此次事件，OpenSea表示正在進行積極調查。最新消息稱，OpenSea官方發推表示，目前這次網絡釣魚攻擊還沒有調查出確定確切的來源，但想有一些EOD更新：已將受影響的個人名單縮小到17人，而不是之前提到的32人。最初的計數包括與攻擊者有過“交互”的任何人，而不是網絡釣魚攻擊的受害者。這次攻擊似乎不活躍，超過15小時沒有惡意合約活動。

OpenSea撤銷更新“NFT創作者最多只能創建5個NFT系列”:1月28日消息，OpenSea宣布撤銷“NFT創作者最多只能創建5個NFT系列”。OpenSea解釋此前準備推出該更新表示，最近看到濫用此功能的情況呈指數增長。使用該工具創建的超過 80% 的項目是剽竊作品、虛假收藏和垃圾郵件。OpenSea為沒有在推出更新之前發布預覽進行道歉。此外，OpenSea表示，除了撤銷決定外，還在研究多種解決方案，以確保支持創作者，同時阻止不良行為者。OpenSea承諾在推出之前與用戶一起預覽這些更改，并將邀請用戶反饋。

此前消息，OpenSea發布重大更新：NFT創作者最多只能創建5個NFT系列。[2022/1/28 9:19:07]

OpenSea平臺以太坊NFT交易量在10月份再次下降12%:金色財經報道，根據Dune Analytics的數據，OpenSea平臺上的以太坊NFT交易量從8月份的34億美元下降到9月份的30億美元，然后在10月份下降到近26.4億美元，分別都下降了12%。這種下降是在該平臺上的交易量急劇增加之后發生的，此前從7月份的約3.29億美元躍升至8月份的34億美元。根據Cryptoslam的數據，一些最大的以太坊NFT收藏品的銷售勢頭最近有所減弱，CryptoPunks的交易量從8月份的6.79億美元下降到9月份的近2.18億美元，然后是10月份的1.57億美元。與此同時，Art Blocks的銷售量從8月份的近5.89億美元下降到9月份的2.43億美元。[2021/11/2 21:16:46]

不過Devin Finzer在事情剛發生時就推特上表示，該漏洞可能根本沒有襲擊OpenSea，到目前為止，似乎有32位用戶簽署了來自攻擊者的惡意有效載荷，并且他們的一些NFT被盜。

簡單來說，Devin Finzer猜測人們可能收到了偽造成官方的電子郵件，誘導他們將NFT轉移到其他人的錢包中。

此外，Devin Finzer還表示，推特用戶Neso的帖子與他對所發生事情的理解一致。

Neso發推解釋了技術方面的可能性，Neso表示，丟失資產的人可能簽署了一半有效的wyvern訂單（這是一個可以執行資產轉移的去中心化交易協議），攻擊者簽署了另一半訂單。wyvern合約非常靈活，OpenSea會在其前端/api上驗證訂單，以確保用戶簽署的內容將按預期運行，但同樣的合約仍然可以被其他人使用，如果人們簽署這樣更復雜的訂單，攻擊者就可以拿走得到正式認可的所有東西。

這次攻擊恰逢新智能合約Wyvern 2.3（旨在防止不同類型的漏洞利用）的發布，OpenSea當時要求用戶遷移他們的列表，不少猜測表示或許與此有關。不過OpenSea的攻擊來源依舊沒有得到確切的消息，這些猜測也只是猜測，關于后續的故事，仍需繼續等待OpenSea的調查結果。

有趣的是，此次事件中攻擊者的交易操作著實讓很多人摸不著頭腦。

比如為什么網絡釣魚詐騙者在拿走他的一些資產后選擇歸還部分資產？

再比如，為什么歸還部分資產之后向naterivers.eth發送了50個以太坊（約13萬美元）？

......

是良心發現還是耀武揚威？恐怕這些謎之操作，也只有攻擊者自己知道。

最后，為了防止NFT和以太幣的丟失，最好通過Etherscan的代幣批準功能撤銷訪問權限，最好將資產轉移到硬件錢包中。

Etherscan的代幣批準功能鏈接如下：

https://etherscan.io/tokenapprovalchecker

作者：Corn

Tags：OPENPENNFTENSOpen SesamePENG價格NFT-DAOSensitrust

歐易交易所