ENS:OpenSea CTO發文回顧釣魚攻擊：外部攻擊導致，并非自身系統性問題_openaurum

作者：OpenSeaCTONadavHollander

2月21日，OpenSeaCTONadavHollander發布了關于針對OpenSea用戶的釣魚攻擊的技術概要。據悉，這次攻擊導致了大約300萬美元資產被盜，包括無聊猿，Azuki和CloneX等知名NFT系列。

本帖子分享了針對@OpenSea用戶網絡釣魚攻擊的技術概要，包括提供一些web3方面的技術教育。

被罷免的BitMEX前首席執行官向BitMEX索賠340萬美元:金色財經報道，被罷免的BitMEX前首席執行官Alexander H?ptner以錯誤解雇和違反協議為由向BitMEX索賠340萬美元。據Alexander H?ptner提交的文件顯示，BitMEX對他進行了毫無根據的內部調查，從而無需支付數百萬美元的工資和獎金。BitMEX調查的重點是Alexander H?ptner從香港搬到新加坡，后來又搬到德國，并認為他挪用了公司資金來進行搬遷。

Alexander H?ptner的律師稱公司的指控完全沒有根據，并表示Bitmex欠他340萬美元，外加賠償金。這個數字包括240萬美元的兩周年獎金、工資以及住房和教育津貼。[2022/12/19 21:54:25]

在審查了這次攻擊中的惡意訂單之后，可以看出以下一些數據點：

摩根大通和Visa達成合作，使用私有區塊鏈網絡簡化跨境支付:金色財經報道，摩根大通（JP Morgan）的私有區塊鏈網絡Liink和Visa的私有區塊鏈網絡B2B Connect將使用一款名為“Confirm”的新工具在二者之間建立連接。

Confirm由摩根大通推出，已與德意志銀行簽約。目前正在亞太、拉美和美國招募創始成員銀行，目標是擴大覆蓋范圍。

Confirm全球主管Alex Littlejohn表示，“Confirm的增長在很大程度上受到網絡效應的影響，與Visa的區塊鏈建立互聯將加速我們在全球范圍內的采用。”（finextra）[2022/10/11 10:30:59]

所有惡意訂單都包含來自受影響用戶的有效簽名，表明這些用戶確實在某個時間點某處簽署了這些訂單。但是，在簽署之后時，這些訂單都沒有廣播到OpenSea。

美國前財長：美聯儲的收緊政策正在對美國經濟產生影響:6月5日消息，美國前財長勞倫斯·薩默斯當地時間3日表示，有證據表明美聯儲的收緊政策正在對美國經濟產生影響，一些跡象表明勞動力需求出現轉變，未售出物品的庫存增加，但由于未來的動蕩，經濟情況仍然“非常緊張”。薩默斯還指出，歷史表明，當通貨膨脹率超過4%，失業率降到4%以下時，兩年內就會出現經濟衰退。他稱，在2021年的財政刺激措施導致需求過剩之后，“我認為我們沒有工具可以平穩地降低這種情況”。（財聯社）[2022/6/5 4:03:05]

沒有惡意訂單針對新的合約執行，表明所有這些訂單都是在OpenSea最新的合約遷移之前簽署的，因此不太可能與OpenSea的遷移流程相關。

32名用戶的NFT在相對較短的時間內被盜。這是非常不幸的，但這也表明了這是一場有針對性的攻擊，而不是OpenSea存在系統性問題。

這些信息，再加上我們與受影響用戶的討論和安全專家的調查，表明由于意識到這些惡意訂單即將失效，因此攻擊者在2.2合約棄用之前執行了這場網絡釣魚操作。

在這場網絡釣魚詐騙之前，我們選擇在新合約上實施EIP-712的部分原因是EIP-712的類型化數據功能使不法分子更難在不知情的情況下誘騙某一位用戶簽署訂單。

例如，如果您要簽署一條消息以加入白名單、抽獎或以代幣作為門檻的discord群組，您會看到一個引用Wyvern的類型化數據有效負載，如果發生一些不尋常的事情，則會向你發出提醒。

“不要共享助記詞或提交未知交易”，這種教育在我們的領域已經變得更加普遍。但是，簽署鏈下消息同樣需要同等的思慮。

作為一個社區，我們必須轉向使用EIP-712類型數據或其他商定標準）來標準化鏈下簽名。

在這一點上，您會注意到在OpenSea上簽署的所有新訂單都使用新的EIP-712格式——任何形式的更改都是可以理解的，但這種更改實際上使訂單簽署更加安全，因為你可以更好地看到你簽的是什么。

此外，強烈呼吁@nesotual,@dguido,@quantstamp等開發者和安全公司向社區提供有關這次攻擊性質的詳細信息。

盡管攻擊似乎是從OpenSea外部發起的，但我們正在積極幫助受影響的用戶并討論為他們提供額外幫助的方法。

Tags：ENSPENSEAOpenSeaSensible Finance[OLD]openaurumPresearchopensea幣單個價格

SHIB