比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

黑客「釣魚攻擊」閃襲 OpenSea 用戶_NFT

Author:

Time:1900/1/1 0:00:00

作者:茉莉,蜂巢Tech

2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。

次日,OpenSea的CEODevinFinzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。

用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。

安全團隊:@HameerHideout Discord服務器再次遭到黑客入侵:金色財經消息,據CertiK Alert數據監測,@HameerHideout官方Discord服務器再次遭到黑客入侵,警告用戶不要點擊任何鏈接,或批準任何交易。[2022/8/24 12:44:32]

2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。

OpenSea用戶遭「釣魚」丟失NFT

2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。

美聯邦調查局對推特黑客事件另一策劃者實行搜查令:9月1日,美國聯邦調查局對推特黑客事件的另一名策劃者施行搜查令。調查顯示,該16歲少年(因年齡未受指控,目前命名該少年)當時假扮成推特員工或承包商,以欺騙用戶將登錄憑據輸入假網站然后獲取相關信息,并與事件主要策劃者Graham Ivan Clark合作進行了相關襲擊。此前消息,7月16日凌晨,拜登、奧巴馬等眾多名人推特被黑并發布數字貨幣釣魚騙局。此前已有三名涉嫌參與者Mason Sheppard、Nima Fazeli、Graham Clark被起訴。(cointelegraph)[2020/9/2]

2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。

觀點:推特黑客攻擊事件表明調查加密貨幣比法幣更容易:Cointelegraph 8月5日發文稱,推特黑客攻擊事件表明調查加密貨幣比法幣更加容易。在8月4日舉行的加密貨幣行業法律合規小組會議上,一些重要人物指出,公眾對該行業的看法最近發生了轉變。他們指出,推特遭黑客攻擊后幾周內被捕的事件,證明了區塊鏈分析在解決犯罪問題上非常有效。Chainalysis聯合創始人Jonathan Levin表示,各機構都在積極權衡如何使用加密貨幣。此外,該委員會進行的一項聽眾調查發現,缺乏監管指導是金融機構使用加密貨幣的主要障礙。[2020/8/5]

從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具TornadoCash「洗幣」的操作。

動態 | 黑客通過EOS漏洞賞金三月內獲利14萬美元:Bianews 9月13日消息,據Reddit網友爆料,在EOS漏洞賞金計劃中,名為“yukichen”黑客在三個月內獲利14萬美元,該獎勵由世界最大的白帽黑客社區HackerOne發放。[2018/9/13]

黑客鏈上地址的部分動向

用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。

直到2月20日,OpenSea的CEODevinFinzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer駁斥了「價值2億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT獲得了價值170萬美元的ETH。

區塊鏈安全審計機構PeckShield列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland的資產和NFT頭像「無聊猿」BoredApeYachtClub等。該機構還披露,黑客利用TornadoCash清洗了1100ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。

攻擊者如何拿到用戶「簽單」授權?

用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。

對此,DevinFinzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約不是攻擊的載體;使用OpenSea上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。

簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。

截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。

推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的Wyvern訂單」,因為除了攻擊者合約和調用數據之外,訂單基本上是空的,攻擊者簽署了另一半訂單。

該攻擊似乎利用了Wyvern協議的靈活性,這個協議是大多數NFT智能合約的基礎開源標準,OpenSea會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。

按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移NFT的所有權。

簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。

也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。

截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序上取消自己的NFT授權。

Tags:NFTENSPENOpenSeaFeisty Doge NFTRecovery Right Tokenspendle幣BOpenSea

比特幣行情
NFT 交易市場 x2y2 向 OpenSea 發起吸血鬼攻擊_OOKS

原作者:OsatoAvan-Nomayo編譯/整理:胡韜,鏈捕手NFT交易市場x2y2對市場領導者OpenSea發起了吸血鬼攻擊,向其用戶群空投數百萬代幣.

1900/1/1 0:00:00
Foresight Ventures:從音樂、四維、隱私、交互等角度重新定義 NFT_ARW

來源:?ForesightResearch 一、概要 現狀: NFT是所有權證明,是你購買作品的收據,不是作品本身.萬物皆鏈接,NFT就是其中一種鏈接.目前NFT主要以藝術品的形式出現.

1900/1/1 0:00:00
梁信軍:一文帶你了解元宇宙的概念、進化和投資_DAO

作者:梁信軍 來源:高山書院 2022年2月19日晚,高山書院2017級班長、復星集團聯合創始人梁信軍帶來了一場主題為《元宇宙入門》的線上夜話課程.

1900/1/1 0:00:00
美國費城正探索與 CityCoin 合作以推出費城 CityCoin_加密貨幣

鏈捕手消息,費城市長JimKenney已經批準該市開始探索與CityCoin合作的可能。費城首席信息官MarkWheeler周一宣布,費城已經準備好推出CityCoin,這是一個由加密貨幣愛好者.

1900/1/1 0:00:00
Messari:詳解 DEX 聚合器 1inch 產品架構與發展狀況_MES

原作者:RamshreyasRao原標題:《BundlingandUnbundling,1inchby1inch》 編譯:胡韜,鏈捕手 在7個受支持的區塊鏈中聚合了超過188個流動性來源.

1900/1/1 0:00:00
Charm:如何使用DMMS將加密價值與實際價值聯系起來?_Chain

來源:Charm博客 編譯:胡韜,鏈捕手 介紹 創新和發明創造是人類進步最強大的決定因素,幾千年來,它們決定了個人、公司、國家和帝國的興衰.

1900/1/1 0:00:00
ads