链资讯 链资讯
Ctrl+D收藏链资讯
首页 > Pol币 > 正文

CRY:OpenSea CTO发布钓鱼攻击技术概要:外部攻击导致,并非OpenSea系统性问题_OPEN

作者:

时间:

2月21日,OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉,这次攻击导致了大约300万美元资产被盗,包括无聊猿,Azuki和CloneX等知名NFT系列。作者:OpenSeaCTONadavHollander

本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要,包括提供一些web3方面的技术教育。

在审查了这次攻击中的恶意订单之后,可以看出以下一些数据点:

所有恶意订单都包含来自受影响用户的有效签名,表明这些用户确实在某个时间点某处签署了这些订单。但是,在签署之后时,这些订单都没有广播到OpenSea。

没有恶意订单针对新的合约执行,表明所有这些订单都是在OpenSea最新的合约迁移之前签署的,因此不太可能与OpenSea的迁移流程相关。

32名用户的NFT在相对较短的时间内被盗。这是非常不幸的,但这也表明了这是一场有针对性的攻击,而不是OpenSea存在系统性问题。

这些信息,再加上我们与受影响用户的讨论和安全专家的调查,表明由于意识到这些恶意订单即将失效,因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。

在这场网络钓鱼之前,我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。

例如,如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组,您会看到一个引用Wyvern的类型化数据有效负载,如果发生一些不寻常的事情,则会向你发出提醒。

“不要共享助记词或提交未知交易”,这种教育在我们的领域已经变得更加普遍。但是,签署链下消息同样需要同等的思虑。

作为一个社区,我们必须转向使用EIP-712类型数据或其他商定标准)来标准化链下签名。

在这一点上,您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的,但这种更改实际上使订单签署更加安全,因为你可以更好地看到你签的是什么。

此外,强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。

尽管攻击似乎是从OpenSea外部发起的,但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。

标签:CRYOpenSeaOPENSEA0XENCRYPT币opensea币单个价格OPEN币sea币大涨

Pol币热门资讯
摩根大通研报: 元宇宙商机将带来超过 1 万亿美元的年收入

新数字时代的元素正在大规模融合,元宇宙是将这些元素结合在一起形成统一的、沉浸式体验的驱动力。目前,元宇宙提供的机会包括但不限于:交易—540亿美元:每年有540亿美元花在虚拟商品上,几乎是音乐消.

元宇宙:全球“逐鹿”元宇宙,中外企业布局、发展的差异在哪里?_数字资产管理系统

来源:元宇宙融媒 编辑:李影 原文标题:《全球视角下“元宇宙”竞争激烈,从企业布局看中外发展差距》 图片来源于网络 虽然目前元宇宙还没有一个准确的定义,但“乘着”信息技术变革的“马车”.

META:美国说唱歌手Quavo与NFT项目Innocent Cats达成合作,将于Q2举办元宇宙演唱会_PUMP

巴比特讯,3月13日,美国说唱歌手、嘻哈三重奏Migos主唱Quavo宣布与NFT项目InnocentCats达成合作,将于今年第二季度举办其首场元宇宙演唱会.

META:红杉资本宣布推出加密货币投资基金,背后的推手是这个女人,她选择ALL IN CRYPTO_PUMPIT价格

原标题:《解密红杉资本加密局,一个女人选择ALLIN》2月18日,红杉资本宣布推出规模为5-6亿美元的加密货币投资基金,这是红杉资本自1972年成立以来的首个特定行业基金.

元宇宙:元宇宙上出现的违规内容或成为其进展最大的问题_区块链

自从去年roblox提出元宇宙概念之后,大量互联网巨头纷纷跟进,虽然元宇宙的发展得到了大多数人的认同,而且还扩展到区块链行业,但是在这一年的时间里,元宇宙也逐渐暴露出不少问题.

APE:BAYC 母公司 Yuga Labs宣布收购 CryptoPunks 和 Meebits_BPUNKS币

巴比特讯,3月12日,NFT项目BoredApeYachtClub母公司YugaLabs宣布正式收购CryptoPunks和Meebits.