链资讯 链资讯
Ctrl+D收藏链资讯
首页 > Gateio > 正文

SEA:一文了解黑客钓鱼攻击闪袭OpenSea用户始末_opensea币单个价格

作者:

时间:

原标题|黑客钓鱼攻击闪袭OpenSea用户

作者|茉莉

2月19日,全球最大的NFT交易平台OpenSea刚开始支持用户使用新合约,一些用户的NFT资产就被盗了。

次日,OpenSea的CEODevinFinzer在推特上披露,「这是一种网络钓鱼攻击。我们不相信它与OpenSea网站相关联。到目前为止,似乎有32个用户签署了来自攻击者的恶意有效载体,他们的一些NFT被盗。」Finzer称,攻击者钱包一度通过出售被盗NFT获得了价值170万美元的ETH。

用户NFT被盗后,不少人在推特上猜测,钓鱼攻击的链接可能隐藏在假冒的「OpenSea致用户」邮件中。因为19日当日,该交易平台正在进行一项智能合约升级,用户需要将列表迁移到新的智能合约中。攻击者很可能利用了这次的升级消息,将钓鱼链接伪装成通知邮件。

Gemesis NFT合约设置存在错误,最大Mint量小于18万的供应总量:4月5日消息,Twitter用户BitCloutCat发文称, Gemesis NFT合约设置存在错误,Mint参数配置存在问题,致使现阶段最大Mint量小于18万的供应总量。Gemesis团队成员也在Discord社区中表示,当前Mint存在一些问题,团队正在进行修复,符合资格用户可在5月4日前Mint。[2023/4/5 13:46:19]

2月21日,OpenSea的官方推特更新回应称,攻击似乎不是基于电子邮件。截至目前,钓鱼攻击的来源仍在调查中。

OpenSea用户遭「钓鱼」丢失NFT

2月18日,OpenSea开始了一项智能合约的升级,以解决平台上的非活跃列表问题。作为合约升级的一部分,所有用户都需要将他们在以太坊上的NFT列表迁移至新的智能合约中,迁移期将持续7天,到美东时间的2月25日下午2点完成,迁移期间,用户NFT在OpenSea上的旧报价将过期失效。

基于Conflux网络开发的创新性NFT资产交互平台NFTBox正式版已上线:据官方消息,基于Conflux网络开发的创新性NFT资产交互平台正式版已上线,首批上线沈晨、杨权等国风大触创作,其中山海经系列《四象降临》、上古系列《华夏祖神》将开展为期两天的拍卖活动,并带来系列NFT合成、盲盒、质押等一系列玩法。

NFTBox目前正在打造山海经、华夏祖神及西游系列等经典IP,力求将经典、加密、艺术和玩法融入NFT当中。[2021/7/13 0:48:22]

2月19日,用户需要配合完成的操作开始了。人们没有想到,在忙乱的迁移过程中,黑客的「黑手」伸向了OpenSea用户的钱包里。从用户们在社交平台的反馈看,大部分攻击发生在美东时间下午5点到晚上8点。

从后来在以太坊浏览器上被标记为「网络钓鱼/黑客」的地址上看,19日晚18时56分,被盗的资产开始从黑客地址转移,并在2月20日10时30分出现了通过混币工具TornadoCash「洗币」的操作。

TRUESY NFT平台发布Alex Mijares的“欢迎来到迈阿密”系列:美国佛罗里达州现代艺术家Alex Mijares将以NFT的形式发布“欢迎来到迈阿密”系列,该系列的三幅作品目前在TRUESY NFT平台上出售。(U.today)[2021/6/24 0:04:06]

黑客链上地址的部分动向

用户NFT被盗后,「OpenSea被黑客攻击,价值2亿美元资产被盗」的说法开始在网络上蔓延,人们无从得知失窃案的准确原因,也无法确认到底殃及了多少用户。

直到2月20日,OpenSea的CEODevinFinzer才在推特上披露,「据我们所知,这是一种网络钓鱼攻击。我们不相信它与OpenSea网站相关联。到目前为止,似乎有32个用户签署了来自攻击者的恶意有效载体,他们的一些NFT被盗。」Finzer驳斥了「价值2亿美元的黑客攻击的传言」,并表示攻击者钱包通过出售被盗NFT获得了价值170?万美元的ETH。

NFT挖矿项目Grandson上线,用户误将ETH转至V神地址:9月28日,NFT挖矿项目Grandson上线,有用户误将本该打到Grandson合约地址的ETH,直接转至了V神的钱包地址,并在推特上@Grandson官方求助,Grandson官方表示仍会对其发放代币奖励。据了解,Grandson是关于波场创始人孙宇晨的MEME代币和NFT挖矿项目。在其空投规则“捐赠V神获得SON”中,用户可以将ETH转至Grandson的合约地址以获得代币奖励,每捐赠1枚ETH可以获得150枚SON。Grandson合约会在V神生日当天自动将该笔代币转至其地址。[2020/9/28]

区块链安全审计机构PeckShield列出了失窃NFT的数量,共计315个NFT资产被盗,其中有254个属于ERC-721标准的NFT,61个为ERC-1155标准的NFT,涉及的NFT品牌包括知名元宇宙项目Decentraland的资产和NFT头像「无聊猿」BoredApeYachtClub等。该机构还披露,黑客利用TornadoCash清洗了1100ETH,按照ETH当时2600美元的价格计算,清洗价值为286万美元。

攻击者如何拿到用户「签单」授权?

用户NFT失窃事件发生后,有网友猜测,黑客利用了OpenSea升级的消息,将钓鱼链接伪造成通知用户的邮件,致使用户上当受而点击了危险链接。

对此,DevinFinzer表示,他们确信这是一次网络钓鱼攻击,但不知道钓鱼发生在哪里。根据与32名受影响用户的对话,他们排除了一些可能性:攻击并非源自OpenSea官网链接;与OpenSea电子邮件交互也不是攻击的载体;使用OpenSea铸造、购买、出售或列出NFT不是攻击的载体;签署新的智能合约不是攻击的载体;使用OpenSea上的列表迁移工具将列表迁移到新合约上不是攻击的载体;点击官网banner页也不是攻击的载体。

简而言之,Finzer试图说明钓鱼攻击并非来自OpenSea网站的内部。2月21日凌晨,OpenSea官方推特明确表示,攻击似乎不是基于电子邮件。

截至目前,钓鱼攻击到底是从什么链接上传导至用户端的,尚无准确信息。但获得Finzer认同的说法是,攻击者通过钓鱼攻击拿到了用户转移NFT的授权。

推特用户Neso的说法得到了Finzer的转发,该用户称,攻击者让人们签署授权了一个「半有效的Wyvern订单」,因为除了攻击者合约和调用数据之外,订单基本上是空的,攻击者签署了另一半订单。

该攻击似乎利用了Wyvern协议的灵活性,这个协议是大多数NFT智能合约的基础开源标准,OpenSea会在其前端/API上验证订单,以确保用户签署的内容将按预期运行,但这个合约也可以被其他更复杂的订单使用。

按照Neso的说法,首先,用户在Wyvern上授权了部分合约,这是个一般授权,大部分的订单内容都留着空白;然后,攻击者通过调用他们自己的合约来完成订单的剩余部分,如此一来,他们无需付款即可转移NFT的所有权。

简单打个比方就是,黑客拿到了用户签名过的「空头支票」后,填上支票的其他内容就搞走了用户的资产。

也有网友认为,在钓鱼攻击的源头上,OpenSea排除了升级过的、新的Wyvern2.3合约,那么,不排除升级前的、被用户授权过的旧版本合约被黑客利用了。对此说法,OpenSea还未给出回应。

截至目前,OpenSea仍在排查钓鱼攻击的源头。Finzer也提醒不放心的用户,可以在以太坊浏览器的令牌批准检查程序上取消自己的NFT授权。

标签:SEAOPENOpenSeaPENTSSEA价格OPEN价格opensea币单个价格SPENT币

Gateio热门资讯
DAO:NFT盗窃案:为什么NFT市场被盗窃和黑客所困扰?_OHMI币

NFT的增长值得关注。许多人愿意为数字艺术支付数百万美元,世界正在走向数字化。报告显示,NFT市场和NFT收藏从2020年的1.06亿美元增加到了2021年的442亿美元.

区块链:案例应用|跨境易支付_Encryption AI

跨境易支付 打造安全、快捷、低成本的 跨境支付工具 前言 本文是“发现100个中国区块链创新应用”系列文章之一.

NFT:NFT 抵押借贷的简单思考:短期内是小众赛道,面向头部NFT持有者为主_ARC

原标题:NFT抵押借贷的简单思考 撰文:Jiawei 引子 说回抵押借贷,对于FT而言,抵押显然需要承担一定的流动性成本:面对代币上涨,无法出售并获利;面对代币下跌,只能被动持有.

OpenSea:元宇宙热背后:避免内卷化竞争与技术割据_SEAMLESS币

作者:许鑫、汪晓芸、易雅琪元宇宙热度不减,世界市场及政府纷纷布局元宇宙。美国率先提出“元界”概念,先有第一家元宇宙公司Roblox成立,后有互联网巨头Facebook更名Meta,此后微软、谷歌.

DAP:DappRadar报告:DApp流量较12月仅降2%,52%流量来自链游_LOOK

原文标题:《2022年1月Dapp行业报告》2022年1月的Dapp行业报告显示,尽管加密市场发生了崩盘,区块链仍表现活跃.

区块链:基于 NFT 技术的数字藏品降低「gas」的技术方案初探_opensea币价格

摘要: 基于区块链的数字藏品市场是NFT技术的最主要应用场景之一,然而链上手续费成本过高在一定程度阻碍了数字藏品市场的发展.