链资讯 链资讯
Ctrl+D收藏链资讯
首页 > MANA > 正文

NFT:NFT交易平台安全风险频发 OpenSea、X2Y2安全事件分析_CryptoKnitties

作者:

时间:

一、OpenSea事件描述

近日,OpenSea首席执行官Devin Finzer在一条推文表示:"到目前为止,有32个用户签署了来自攻击者的入侵,他们的一些NFT被盗。"并暗示可能是一个欺诈性网站造成的。

"我们正在积极调查与OpenSea相关的智能合约的漏洞传闻,这似乎是源于OpenSea网站之外的钓鱼攻击。请不要点击opensea.io以外的链接。"

SharkTeam第一时间对此事件进行了攻击技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

知名NFT藏家888以97ETH购买Crypto Phunk#5822:12月9日消息,知名NFT藏家888以97ETH购买Crypto Phunk#5822号作品,并在个人社交媒体发布推文表示对LarvaLabs过度中心化的抗议与不满。[2021/12/9 13:01:53]

二、OpenSea事件攻击原理分析

攻击者账户(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻击合约(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd

1. 创建攻击合约

交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779

漫威漫画告知自由艺术家不要创作漫威品牌NFT,并称将“为创作者提供新机会”:9月12日消息,漫画出版商漫威漫画(Marvel Comics)不希望艺术家们使用漫威的产品和IP来出售NFT,并表示漫威计划“为漫威创作者提供新机会”。8月初,该公司庆祝了“漫威月”,并推出了蜘蛛侠NFT。8月底,漫威在81周年纪念时推出了美国队长NFT。在发给彭博社撰稿人Madis Kabash的一份声明中,漫威解释称:“漫威漫画公司计划在Veve的平台上为漫威创作者们提供新的机会。”

此外,早在今年3月,华纳兄弟子公司、出版商DC漫画公司(DC Comics)法律事务高级副总裁Jay Kogan已经给该公司雇佣的自由职业者写了一封信,信中强调,出售带有DC知识产权的数字图像,无论是否有NFT,都是违反公司政策的。Kogan表示,DC漫画公司有自己进入NFT领域的计划,目前正在探索进入该市场的机会。(彭博社)[2021/9/12 23:19:20]

CryptoPunk NFT被报价9000万美元:CryptoPunk 3100被报价9050万美元,如果被接受,这将是历史上最高的CryptoPunk拍卖。根据Larva实验室(CryptoPunks的创造者)的说法,该报价是针对CryptoPunk 3100的。之前的销售记录包括这个CryptoPunk 3100和另一个外星人NFT,每个都是760万美元。除此之外,一只猿猴NFT以540万美元售出,另一只猿猴以370万美元卖给了企业家Gary Vaynerchuk。(theblockcrypto)[2021/8/2 1:28:11]

2. 发起攻击

以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad为例,

NFT游戏NBA Top Shot已售出了价值120万美元的NBA主题数字收藏卡:由加密猫开发团队Dapper Labs推出的NFT游戏NBA Top Shot已售出了价值120万美元的NBA主题数字收藏卡。据悉,该游戏目前有900多名活跃用户。(The Block)[2020/8/5]

执行过程如下:

WyvernExchange合约atomicMatch函数如下:

其中,订单签名校验requireValidOrder函数如下:

函数中包含了挂单授权(签名)的校验,因此,攻击者发起攻击交易,将NFT从原来持有者账户(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 记为0xf2d2)转账到攻击者账户,需要获取到账户0xf2d2的授权(签名)。

攻击者要想获取到其他账户的签名,可以通过以下方法:

(1)获得账户的私钥

(2)签名重放攻击

(3)通过网络钓鱼等方式获取用户的私钥或者签名。

这里,攻击者明显并没有获取到账户0xf2d2的私钥,而且函数中有防止签名重放的措施:

另外,也没有从交易中发现签名重放攻击。

因此,我们分析,被攻击的用户意外签署了来自攻击者的恶意交易,攻击者获得了用户的挂单授权,然后利用该授权签名窃取了用户的NFT。综上所述,我们认为此次攻击事件是由链下的网络钓鱼攻击引起的,而不是链上合约代码漏洞造成的。

三、X2Y2安全事件

无独有偶,2022年2月18日,大V账号(DiscusFish)在Twitter上面指出,NFT交易平台X2Y2上面NFT挂单挖矿存在风险。

此外,还指出X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约,升级权限(proxyAdmin的owner)是官方单地址,理论上存在官方通过升级合约,然后转走用户NFT的可能。

X2X2团队针对可升级合约的漏洞,采用多签钱包和时间锁对合约进行了修复:

四、安全建议

OpenSea被攻击事件属于网络钓鱼攻击,而X2Y2的问题在于合约漏洞。鉴于此,我们提出以下建议:

1.项目方在开发过程中,要保证业务逻辑以及合约代码的严谨性,选择多家知名负责的审计公司进行多伦审计。

2. 项目参与者在涉足区块链项目时请提高警惕,尽可能选择更稳定、更安全,且经过完备多轮审计的公链和项目,在发起交易、签名授权时要谨慎,尽可能地只通过官方指定的网站参与投资。

标签:NFTCRYPTCRYPTOCRYMANEKI Vault (NFTX)CryptoKnittiesCryptofiMy Crypto Heroes

MANA热门资讯
NFT:哪里存放我不安的稳定币?哪里有不错的稳定币挖矿池?_泰达币usdt钱包

数天以来,USDT与法币的交互通道不畅,且“汇率”从6.55波动到6.1、6.2。USDT要出问题的言论已经不是一天两天的事情,三年以来(其实更久),一直都有言论说USDT要不行了.

NFT:NFT 对阿什维尔艺术界的意义_usdt币怎么获取

由于饥饿的艺术家和著名的音乐家都声称不可替代的代币是下一件大事,阿什维尔的许多本地创作者都接受了这种相对较新的现象,以此将他们的艺术作品公之于众并从中获利.

NFT:国字头文件支持开放NFT二级市场?请勿过度解读_区块链币圈

近几天,各个微信群和部分公众号中都在流传着这么一份由两大国字头办公厅联名印发的《关于推进实施国家文化数字化战略的意见》(以下简称27号文).

NFT:NFT细分类型中值得关注的项目_CRYPTO

NFT作为现如今加密市场的潜在风口,有着许许多多的细分类型,例如头像、游戏内资产、虚拟土地、社交等。从长远上看,NFT市场将持续发展,并且极有可能成为下一个千亿美元级别的市场.

PEN:在Flow链上创建NFT所消耗的能量比人们搜索或发布一个帖子还少_flow币最新消息

在Flow上创建NFT比人们进行谷歌搜索或在Instagram发布帖子所消耗的能量更少。——德勤(加拿大站)最新行业报告 众所周知,Proof of Work(POW/工作量证明)的区块链机制对.

OpenSea:NFT市场“谁主沉浮” 谁会是下个OpenSea?_REAL

近几年,NFT作为一种独特、稀缺、有趣的资产类别,火速席卷了各大圈子,谁也未曾料到,这场最初只是技术在艺术圈的小试牛刀,却造就了现如今「NFT可万物」的景象.