NFT交易平臺安全風險頻發 OpenSea、X2Y2安全事件分析_LOX:NFT

一、OpenSea事件描述

近日，OpenSea首席執行官Devin Finzer在一條推文表示："到目前為止，有32個用戶簽署了來自攻擊者的入侵，他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。

"我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞，這似乎是源于OpenSea網站之外的釣魚攻擊。請不要點擊opensea.io以外的鏈接。"

SharkTeam第一時間對此事件進行了攻擊技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

數據：4月份至今NFT市場的賣家一直多于買家:4月27日消息，NFTGo 數據顯示，4 月份至今，NFT 市場的賣家一直多于買家，其中 4 月 26 日有 7,907 名買家和 8,641 名賣家。此外 4 月 19 日 NFT 市場創下過去 12 個月以來的買家數量第二低，只有 5,893 名買家，僅次于 2022 年 6 月 18 日的 5,343 名買家。[2023/4/27 14:30:35]

二、OpenSea事件攻擊原理分析

攻擊者賬戶（Fake_Phishing5169）：0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻擊合約（Fake_Phishing5176）：0xa2c0946ad444dccf990394c5cbe019a858a945bd

1. 創建攻擊合約

NFT交易平臺sudoswap推出0%版稅機制:8月15日消息，去中心化的 NFT 交易平臺 Sudoswap 推出了一個自動做市商（AMM），將藝術家版稅設置為 0%。在幫助降低每筆 NFT 交易的總體成本的同時，此舉激發了加密 Twitter 關于免版稅交易道德的討論。一些 NFT 收藏家懷疑 Sudoswap 削減版稅可能會導致 NFT 市場費用結構和用戶行為之間的級聯效應。

據悉，全球最大的 NFT 市場 OpenSea 設定了 2.5% 的特許權使用費。Yuga Labs 的Meebits和 Bored Ape Yacht Club等其他項目的版稅分別為 5% 和 2.5%。[2022/8/16 12:27:13]

交易：0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779

Roblox招聘Web3高級工程師，將虛擬物品或交易（NFT）放在區塊鏈上:金色財經報道，元宇宙平臺Roblox正在招聘一個Web3高級軟件工程師來完成包括開發web3 解決方案并將它們與現有的Roblox技術集成在內的任務跨Roblox堆棧，以及幫助決定Roblox中web3的未來以及我們web3解決方案的性質。

招聘信息稱，作為一名高級工程師，將幫助Roblox Marketplace做好web3準備，并支持在區塊鏈和 Roblox上發生的數十億個項目和交易。此外，Roblox應該不會很快推出NFT，因為職位描述強烈暗示Roblox中web3的未來仍在決定中。?[2022/8/5 12:04:48]

2. 發起攻擊

「Portraits of a Mind」系列第21幅作品創下NFT拍賣價格的最高記錄:《Portraits of a Mind》比特幣主題系列藝術品中的第21幅作品（Block 21）在紐約佳士得拍賣所以131,250美元的價格售出，創下NFT（非同質化代幣）拍賣價格的最高記錄，也超過了拍賣所的預期拍賣價格。佳士得拍賣所最初估計Block 21的售價可能在12,000美元至18,000美元之間。這是NFT在大型拍賣行中的第一次拍賣。創作這幅作品的藝術家名叫 Ben Gentilli。他將該系列作品命名為《Portraits of a Mind》，共有40幅作品，Block 21是其中之一。40幅作品中每一幅都包含了部分原始代幣，只有當所有代碼匯聚在一起之后，才能看到這個系列作品的全貌，即比特幣匿名創始人中本聰（Satoshi Nakamoto）的肖像畫。（Decrypt）[2020/10/8]

以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad為例，

執行過程如下：

WyvernExchange合約atomicMatch函數如下：

其中，訂單簽名校驗requireValidOrder函數如下：

函數中包含了掛單授權（簽名）的校驗，因此，攻擊者發起攻擊交易，將NFT從原來持有者賬戶（0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 記為0xf2d2）轉賬到攻擊者賬戶，需要獲取到賬戶0xf2d2的授權（簽名）。

攻擊者要想獲取到其他賬戶的簽名，可以通過以下方法：

（1）獲得賬戶的私鑰

（2）簽名重放攻擊

（3）通過網絡釣魚等詐騙方式獲取用戶的私鑰或者簽名。

這里，攻擊者明顯并沒有獲取到賬戶0xf2d2的私鑰，而且函數中有防止簽名重放的措施：

另外，也沒有從交易中發現簽名重放攻擊。

因此，我們分析，被攻擊的用戶意外簽署了來自攻擊者的惡意交易，攻擊者獲得了用戶的掛單授權，然后利用該授權簽名竊取了用戶的NFT。綜上所述，我們認為此次攻擊事件是由鏈下的網絡釣魚攻擊引起的，而不是鏈上合約代碼漏洞造成的。

三、X2Y2安全事件

無獨有偶，2022年2月18日，大V賬號（DiscusFish）在Twitter上面指出，NFT交易平臺X2Y2上面NFT掛單挖礦存在風險。

此外，還指出X2Y2上掛單挖礦模式所采用的交易 Exchange 合約是可升級合約，升級權限（proxyAdmin的owner）是官方單地址，理論上存在官方通過升級合約，然后轉走用戶NFT的可能。

X2X2團隊針對可升級合約的漏洞，采用多簽錢包和時間鎖對合約進行了修復：

四、安全建議

OpenSea被攻擊事件屬于網絡釣魚攻擊，而X2Y2的問題在于合約漏洞。鑒于此，我們提出以下建議：

1．項目方在開發過程中，要保證業務邏輯以及合約代碼的嚴謹性，選擇多家知名負責的審計公司進行多倫審計。

2. 項目參與者在涉足區塊鏈項目時請提高警惕，盡可能選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，在發起交易、簽名授權時要謹慎，盡可能地只通過官方指定的網站參與投資。

Tags：NFTBLOLOXOBLOXBONSAI Vault (NFTX)QI BlockchainBloxOBLOX幣

TUSD