链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 非小号 > 正文

PEN:钓鱼攻击威胁NFT资产安全_BPENG价格

作者:

时间:

全球最大的NFT交易平台OpenSea快速修复了一个威胁用户NFT资产安全的漏洞。此前,有用户在社交媒体推特上称,他们经该OpenSea获得免费空投的NFT后,加密钱包里的资产被盗走。

区块链安全公司CheckPointResearch正是从受害者那获得了漏洞线索,研究人员调查发现,OpenSea上存在安全漏洞,黑客可能利用漏洞发送恶意NFT以劫持用户的OpenSea账户并窃取他们的加密钱包。

该安全公司向OpenSea报告了漏洞,双方在9月底就联手修复了这一漏洞,安全事件隔了20多天才得以对外公布,OpenSea专门开辟了一个博客向用户普及去中心化网络安全常识。

从漏洞及攻击方式看,这是一起典型的「钓鱼攻击」,这种攻击在互联网世界并不陌生,但经过多年的安全实践,互联网已经对此构建起一定的防御手段,用户也有了防御意识。但在新兴的去中心化网络区块链上,「钓鱼」这种古老的攻击的方式仍在横行,并蔓延到了NFT资产领域,它利用的恰恰是用户对区块链基础设施的陌生感。

NFT Trader:网站前端因遭遇恶意攻击现已关闭,请用户谨防钓鱼攻击:7月3日消息,P2P数字资产交易协议NFT Trader发推称,其网站已被攻击,请用户监控账户,谨防网络钓鱼攻击,NFT Trader网站将被关闭。目前,团队仍然调查,该平台已下线,以避免任何其他问题。

NFT Trader表示,这不是协议问题,疑似团队之外的人在前端插入一个恶意代码。团队仍将继续进行调查。[2023/7/3 22:15:17]

用户在OpenSea接收NFT空投后钱包被盗

网友在推特上倾诉的加密资产被盗事件引起了区块链安全公司CheckPointResearch的注意。这些加密资产被盗事件有个共同的引子——用户接收了免费的NFT空投后,钱包被洗劫。

「当我们在网上看到有关被盗加密钱包的传闻时,我们对OpenSea产生了兴趣。我们推测,OpenSea周围存在一种攻击方法,因此我们对它进行了彻底调查。」CPR的产品漏洞研究主管OdedVanunu回忆了一个月前的研究经历。

慢雾:iCloud 用戶的MetaMask钱包遭遇钓鱼攻击是由于自身的安全意识不足:据官方消息,慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析,首先用户遭遇了钓鱼攻击,是由于自身的安全意识不足,泄露了iCloud账号密码,用户应当承担大部分的责任。但是从钱包产品设计的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 来禁止应用程序被用户和系统进行备份,从而避免备份的数据在其他设备上被恢复。

MetaMask iOS端代码中没有发现存在这类禁止钱包数据(如 KeyStore 文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据,当iCloud账号密码等权限信息被恶意攻击者获取,攻击者可以从目标 iCloud 里恢复 MetaMask iOS App 钱包的相关数据。

慢雾安全团队经过实测通过 iCloud 恢复数据后再打开 MetaMask 钱包,还需要输入验证钱包的密码,如果密码的复杂度较低就会存在被破解的可能。[2022/4/18 14:31:38]

在与受害用户取得联系并详细询问后,CPR识别出OpenSea上存在的关键漏洞,证明恶意NFT投放者可利用漏洞劫持用户的OpenSea账户并窃取用户的加密钱包。

Xrplorer专家:警惕针对XRP的钓鱼攻击,应仔细辨别域名:Xrplorer专家6月15日警告称,一种针对XRP的钓鱼网站局自年初以来便已出现,直至目前仍然猖獗。

据悉,该类攻击始于1月17日,攻击者先是发送少量XRP,并在交易备注中声称Ripple即将空投大量XRP,随后将目标对象吸引至仿照Ripple Insight官方博客搭建的网站。

这一局得手的关键在于,仿冒网站的域名为rípple.com,而非Ripple官方的ripple.com,若不仔细观察很难识别í与 i 的不同。(Cointelegraph)[2020/6/17]

用户在查看恶意NFT?时可能会看到的确认选择

动态 | 法国交易所Coinhouse遭受黑客钓鱼攻击 已切换到维护模式以保护用户资金:法国加密货币交易所Coinhouse表示,该公司遭受了一次网络钓鱼攻击,黑客在攻击期间进入了其客户端邮件分发数据库。根据Coinhouse官方推文,黑客成功访问了包含姓名和电子邮件地址的客户端数据库,并利用这些信息开始对用户进行网络钓鱼攻击。Coinhouse因此建议其客户不要点击或回复有关该交易所的电子邮件,并立即将平台切换到维护模式以防止黑客获得用户资金。该交易所声称,他们能够遏制黑客攻击,并迅速向客户发送了一封电子邮件解释如何避免钓鱼攻击。[2019/9/14]

CPR推导出利用漏洞的步骤——黑客创建恶意NFT并将其赠送给目标受害者;受害者查看恶意NFT后,OpenSea的存储域会触发弹出窗口(此类弹窗在该平台的各种活动中很常见),请求连接到受害者的加密资产钱包上;受害者如果为了获得这些「免费的NFT」与之交互,就要点击「连接钱包」,一旦此操作执行,黑客就获得了访问受害者钱包的权限;利用触发其他弹窗这一方式,黑客就可以不断窃取用户钱包中的资产。

动态 | Electrum和MyEtherWalle用户面临网络钓鱼攻击:据cointelegraph报道,根据2月4日在Reddit和Twitter发布的帖子,加密货币钱包Electrum和MyEtherWallet的用户目前正面临网络钓鱼攻击。MyEtherWallet团队已发布了一条关于发送给用户的网络钓鱼电子邮件的警告。Electrum也在其网站上发布了一则警告,通知用户早于3.3.3的Electrum版本容易受到网络钓鱼攻击。该公司警告其用户不要从其他来源下载软件更新。[2019/2/6]

由于这些弹窗是从OpenSea的存储域发出的,因此CPR也就锁定了该平台的漏洞源头。如果用户没有注意到描述交易的弹窗中的注释,他们很可能点击弹窗,最终导致整个加密钱包被盗。

CPR识别并推导出了漏洞及利用路径,但OpenSea在后续针对此漏洞的声明中称,无法确定任何利用此漏洞的实例。

CPR表示,9月26日,他们向OpenSea披露了调查结果,对方响应迅速并共享了包含来自其存储域的iframe对象的svg文件,因此CPR可以一起审查并确保关闭所有攻击媒介。在不到1个小时时间里,OpenSea修复了该漏洞并验证了修复。

OpenSea的声明显示,这些攻击依赖于用户通过第三方钱包为恶意交易提供签名来批准恶意活动,修复漏洞后,他们已经与和平台集成的第三方钱包直接协调,以帮助用户更好地识别恶意签名请求,以及帮助用户阻止和网络钓鱼的举措攻击。「我们还围绕安全最佳实践加倍进行社区教育,并启动了一个关于如何在去中心化网络上保持安全的博客系列。我们鼓励新用户和经验丰富的老手阅读该系列。我们的目标是让社区能够检测、减轻和报告区块链生态系统中的攻击,例如CPR所展示的攻击。」

别将钱包轻易与陌生网址相连

这已经不是第一起发生在NFT资产领域的安全事件,受害者也不仅是普通用户,但更集中在普通用户群体中,因为无论是平台还是项目方的的NFT资产被盗,都会影响到普通用户的收益。

仅今年3月就发生了两期知名度较高的NFT资产被盗事件。

先是3月15日,社交NFT代币平台Roll的热钱包被盗,黑客从中盗取了部分WHALE和SKULL等NFT社交代币,其中部分资金随后被转移到交易混合器Tornado。据分析称,攻击者在此过程中净赚了约570万美元的ETH。受影响的社交代币价格大幅下跌。

紧接着的3月17日,NFT交易市场NiftyGateway的数名用户遭遇了账号被盗,有受害者称,黑客从其帐户中窃取了价值数千美元的数字艺术品;其他被黑客入侵的用户称,他们存档的信用卡被用来购买额外的NFT。NiftyGateway后续的声明中提到,遭遇盗号的账户因没有启用双因素认证,而黑客通过有效账号的认证信息获得了访问权限。

在非同质化代币NFT越来越多的与收藏品、有价值的加密资产相连时,黑客的罪恶之手正在伸向NFT持有者的钱包,这也再次反映了NFT依托的区块链网络安全性的脆弱。

有经验的用户曾总结过NFT的攻击向量,比如,黑客对你的电脑植入木马病文件,盗取你的登录信息和其他资料;或者通过恶意软件记录键盘输入,窃取你的密码;抑或通过恶意软件来获取屏幕截图,从而获得敏感信息;黑客还可能通过劫持DNS,创建钓鱼页面,取用户钱包的助记词。

这样看下来,这些攻击手段与黑客攻击互联网时所用的方式并无多大差异,但在互联网应用上,用户已经从自己或别人的经验中获得了一些防御意识,比如,不随便点开陌生链接。但在使用区块链网络和加密钱包时,一些用户变成了「常识归零」的状态,这与用户对加密资产及区块链基础的陌生感有关,也再次说明区块链基建在普及层面的不成熟。

普通用户似乎只能从一起起的安全事故中去学习防范技能,普及安全常识也成为加密社区致力做的工作之一。

NFT创作者和收藏家JustinOuellette就曾在推特上科普过NFT资产的保护措施,「不要在多个平台上重复使用相同相同的密码;要学会启用双因素认证;要小心那些最小化元蒙版UI的网站;不要透露你的助记词给任何人。」

资产被盗还仅仅是NFT安全的一个层面。近期,华中科技大学区块链存储研究中心和HashKeyCapitalResearch对NFT的研究报告显示,NFT系统是由区块链、存储和网络应用集合而成的技术,其安全保障具有一定的挑战性,每一个组成部分都有可能成为安全的短板,致使整个系统受到攻击,仿冒、篡改、抵赖、信息泄露、拒绝服务和权限提升等方面都是NFT系统存在的风险可能。

在安全之路上,NFT要走的道路还很远。

标签:PENOpenSeaPRONFTBPENG价格opensea币单个价格Meblox ProtocolNFTLaunch

非小号热门资讯
DEF:晚间必读5篇 | 华尔街首只比特币ETF疯狂 或是散户的咬手蛇_DeFiAI

1.华尔街首只比特币ETF疯狂或是散户的咬手蛇业内人士不建议购买在资产价格上升期,比特币ETF无疑是基金公司赚快钱的金钵钵;但就ETF面向的广大散户,这类产品却不见得是高枕无忧的快车道.

以太坊:智能合约中的并发性和并行性_burger币创始人

以太坊很慢——极其缓慢。最近做一个简单的USDC审批交易,大概花了3个小时进行验证。这里有一个更有启发性的统计数据:以太坊平均每10~20秒发布一个区块。每个区块包含少于350个交易.

TAL:CoinList上8个项目的介绍_COI

本周,CoinList从500多个加密初创项目中选择了8个作为最新的秋季项目。与之前的批次相比,一个重要的趋势是多链,如Solana,Terra和Polygon,或为Filecoin矿工提供软件.

比特币:金色观察 | 比特币再回6万后 后市走向看法两极分化_DWT

自10月20日比特币创下历史新高后稍有回调,不过目前仍维持在6万美元上方。有很多人预测今年年底比特币将达到10万美元,不过也有人认为推动比特币创下历史新高的是通胀担忧,比特币仍然是一种高度投机的.

比特币:金色观察 | 为何说今天的加密行业相比2017年已今非昔比_DEFI

数据驱动来探索为什么今天的加密行业与2017年比已有很大不同。许多协议已经从研发阶段的初创企业发展成为产生现金流的企业。1、这不是1个或2个个别协议现象,而是多个协议项目产生收入.

区块链:迪拜因何成为加密行业活力之都?_丘比特币是什么意思

阿联酋迪拜正在成为区块链企业及加密资产服务商们选择入驻的地区之一。10月17日,由迪拜政府发起的2021未来区块链峰会即将开幕,该峰会是近些年来迪拜拥抱区块链与加密经济的一个缩影.