比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

NFT交易平臺安全風險頻發 OpenSea、X2Y2安全事件分析_ENS

Author:

Time:1900/1/1 0:00:00

一、OpenSea事件描述

近日,OpenSea首席執行官Devin Finzer在一條推文表示:"到目前為止,有32個用戶簽署了來自攻擊者的入侵,他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。

"我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞,這似乎是源于OpenSea網站之外的釣魚攻擊。請不要點擊opensea.io以外的鏈接。"

SharkTeam第一時間對此事件進行了攻擊技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

“像素貓頭鷹”NFT項目Moonbirds市值突破5億美元:金色財經報道,據Dapprader最新數據顯示,“像素貓頭鷹”NFT項目Moonbirds市值突破5億美元,本文撰寫時為5.7383億美元,交易總額逼近3億美元。此外,當前Moonbirds的地板價升至18.69 ETH,24小時漲幅達到1.42%。Moonbirds總計鑄造發行10000枚NFT,其中7,875枚則按照2.5ETH的價格公開鑄造銷售,目前已全部售罄。[2022/4/19 14:33:08]

二、OpenSea事件攻擊原理分析

攻擊者賬戶(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻擊合約(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd

CloneX系列中Murakami Drip屬性NFT持有者將獲得村上隆Murakami Flowers NFT白名單:3 月 3 日,加密時尚品牌 RTFKT 旗下 CLONE X - X TAKASHI MURAKAMI 系列中 Murakami Drip 屬性 NFT 的持有者將獲得村上隆即將發布的 Murakami Flowers NFT 白名單資格,快照將于北京時間 3 月 8 日 9 時進行。

此外,所有 CLONE X - X TAKASHI MURAKAMI 系列 NFT 持有者都將在即將到來的 Clone Forging 活動中獲得獨家物品和可穿戴 NFT 設備。[2022/3/4 13:35:55]

1. 創建攻擊合約

交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779

Boson Protocol與8SIAN合作,在Boson Portal中以NFT形式出售實物商品:3月3日消息,Boson Protocol 宣布將與女性主題 NFT 社區 8SIAN 合作,在 Boson Portal 中以 NFT 形式出售實物商品。

此前報道,Boson Protocol 宣布在 Decentraland 推出其第一個虛擬商場 Portal。Portal 中品牌、藝術家和創作者能夠通過向用戶出售 NFT 的形式,在現實世界中提供實物商品、服務和體驗等。品牌和用戶將有機會在現實世界和虛擬世界中進行商業體驗。[2022/3/3 13:35:25]

2. 發起攻擊

時尚雜志媒體巨頭VOGUE攜手Vidy將舉辦NFT主題交流活動:據VOGUE SG官方宣布稱,時尚雜志媒體巨頭新加坡VOGUE即將聯合基于區塊鏈的數字廣告技術提供商Vidy共同舉辦一個聚焦NFT的線上直播研討會。此次直播研討會于3月31日晚21:00在Clubhouse舉辦,參會嘉賓涉及Vidy、幣安慈善基金會、Multicoin Capital、Amber Group、Crasolum多個加密貨幣知名機構及數位全球知名藝術家,這將是VOGUE SG在NFT藝術領域的首次公開討論活動。[2021/3/30 19:28:47]

以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad為例,

執行過程如下:

WyvernExchange合約atomicMatch函數如下:

其中,訂單簽名校驗requireValidOrder函數如下:

函數中包含了掛單授權(簽名)的校驗,因此,攻擊者發起攻擊交易,將NFT從原來持有者賬戶(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 記為0xf2d2)轉賬到攻擊者賬戶,需要獲取到賬戶0xf2d2的授權(簽名)。

攻擊者要想獲取到其他賬戶的簽名,可以通過以下方法:

(1)獲得賬戶的私鑰

(2)簽名重放攻擊

(3)通過網絡釣魚等詐騙方式獲取用戶的私鑰或者簽名。

這里,攻擊者明顯并沒有獲取到賬戶0xf2d2的私鑰,而且函數中有防止簽名重放的措施:

另外,也沒有從交易中發現簽名重放攻擊。

因此,我們分析,被攻擊的用戶意外簽署了來自攻擊者的惡意交易,攻擊者獲得了用戶的掛單授權,然后利用該授權簽名竊取了用戶的NFT。綜上所述,我們認為此次攻擊事件是由鏈下的網絡釣魚攻擊引起的,而不是鏈上合約代碼漏洞造成的。

三、X2Y2安全事件

無獨有偶,2022年2月18日,大V賬號(DiscusFish)在Twitter上面指出,NFT交易平臺X2Y2上面NFT掛單挖礦存在風險。

此外,還指出X2Y2上掛單挖礦模式所采用的交易 Exchange 合約是可升級合約,升級權限(proxyAdmin的owner)是官方單地址,理論上存在官方通過升級合約,然后轉走用戶NFT的可能。

X2X2團隊針對可升級合約的漏洞,采用多簽錢包和時間鎖對合約進行了修復:

四、安全建議

OpenSea被攻擊事件屬于網絡釣魚攻擊,而X2Y2的問題在于合約漏洞。鑒于此,我們提出以下建議:

1.項目方在開發過程中,要保證業務邏輯以及合約代碼的嚴謹性,選擇多家知名負責的審計公司進行多倫審計。

2. 項目參與者在涉足區塊鏈項目時請提高警惕,盡可能選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,在發起交易、簽名授權時要謹慎,盡可能地只通過官方指定的網站參與投資。

Tags:NFTAKAOpenSeaENSNFTMart TokenNakamoto Gamesopensea幣單個價格SENSO幣

中幣下載
NFT持續發力 2022年哪些趨勢將繼續火熱發展?_NFT

從本質上講,NFT是直接在區塊鏈上鑄造的其他資產的防篡改代幣。NFT被公開記錄在區塊鏈上,因此NFT是可被公開追蹤的,并提供可驗證數字資產的來源、創建者等信息.

1900/1/1 0:00:00
想通過10000個NFT一夜暴富?事實可能沒有那么簡單_PPL

前段時間 NFT 市場上充斥著一個怪相 —— 大量個人/項目試圖銷售一堆莫名其妙的NFT,看上去好像還很賺錢,但事實真的是這樣的么?如果你還對這樣的“輕松錢”感到好奇,并希望復制一樣的奇跡.

1900/1/1 0:00:00
Pastel Network:在比特幣代碼上搭一層NFT生態_PAS

深耕行業的投資者應該還記得,美國第一個在 SEC 監管下完成代幣融資的項目 Blockstack。這個專注于 Web3 世界的網絡有一個非常另類的共識機制:基于比特幣網絡建立共識.

1900/1/1 0:00:00
Simetri 精選報告:解析 NFT 指數基金 NFTX 特性與潛力_SIM

加密資產研究機構 Crypto Briefing 推出的付費會員服務「Simetri」發布報告稱,NFTX 有望為增長驚人的 NFT 市場增加流動性而捕獲大量價值.

1900/1/1 0:00:00
NFT碎片化生態:蓬勃發展的碎片化賽道_TOK

摘 要:NFT碎片化格局概述。 作為替代資產的NFTs 加密貨幣的一個核心主題是社區:將權力還給內容創作者,不需要中間商,通過消除進入壁壘來促進可及性,并創造性地利用開發人員、藝術家和創作者來建.

1900/1/1 0:00:00
再次翻紅的NFT 是下一個ICO騙局還是技術革新?_PRO

正當您認為自己安全并且美國執法機構已經清理了ICO(初始代幣發行)領域時,您卻并非如此。接下來是NFT熱潮,這與之前ICO的情況沒有什么不同。只是這一次,騙局隱藏在藝術品和收藏品后面.

1900/1/1 0:00:00
ads