全球最大的NFT交易平臺OpenSea快速修復了一個威脅用戶NFT資產安全的漏洞。此前,有用戶在社交媒體推特上稱,他們經該OpenSea獲得免費空投的NFT后,加密錢包里的資產被盜走。
區塊鏈安全公司Check Point Research正是從受害者那獲得了漏洞線索,研究人員調查發現,OpenSea上存在安全漏洞,黑客可能利用漏洞發送惡意NFT以劫持用戶的OpenSea賬戶并竊取他們的加密錢包。
該安全公司向OpenSea報告了漏洞,雙方在9月底就聯手修復了這一漏洞,安全事件隔了20多天才得以對外公布,OpenSea專門開辟了一個博客向用戶普及去中心化網絡安全常識。
從漏洞及攻擊方式看,這是一起典型的「釣魚攻擊」,這種攻擊在互聯網世界并不陌生,但經過多年的安全實踐,互聯網已經對此構建起一定的防御手段,用戶也有了防御意識。但在新興的去中心化網絡區塊鏈上,「釣魚」這種古老的攻擊的方式仍在橫行,并蔓延到了NFT資產領域,它利用的恰恰是用戶對區塊鏈基礎設施的陌生感。
NFT Trader:網站前端因遭遇惡意攻擊現已關閉,請用戶謹防釣魚攻擊:7月3日消息,P2P數字資產交易協議NFT Trader發推稱,其網站已被攻擊,請用戶監控賬戶,謹防網絡釣魚攻擊,NFT Trader網站將被關閉。目前,團隊仍然調查,該平臺已下線,以避免任何其他問題。
NFT Trader表示,這不是協議問題,疑似團隊之外的人在前端插入一個惡意代碼。團隊仍將繼續進行調查。[2023/7/3 22:15:17]
用戶在OpenSea接收NFT空投后錢包被盜
網友在推特上傾訴的加密資產被盜事件引起了區塊鏈安全公司Check Point Research(以下簡稱CPR)的注意。這些加密資產被盜事件有個共同的引子——用戶接收了免費的NFT空投后,錢包被洗劫。
「當我們在網上看到有關被盜加密錢包的傳聞時,我們對 OpenSea 產生了興趣。我們推測, OpenSea 周圍存在一種攻擊方法,因此我們對它進行了徹底調查。」CPR的產品漏洞研究主管 Oded Vanunu 回憶了一個月前的研究經歷。
“0xc2e7...f12”錢包地址再次被釣魚攻擊,損失約99.8萬USDT:金色財經報道,據派盾監測顯示,“0xc2e7...f12”錢包地址再次被釣魚攻擊,損失998,009枚USDT。此前受害者“0xc2e7...f12”錢包地址在2月份向釣魚地址0x0CeC...f42批準了Unlimited USDT,被釣魚攻擊損失約110萬USDT。[2023/5/10 14:54:16]
在與受害用戶取得聯系并詳細詢問后,CPR識別出OpenSea上存在的關鍵漏洞,證明惡意NFT投放者可利用漏洞劫持用戶的OpenSea賬戶并竊取用戶的加密錢包。
用戶在查看惡意NFT?時可能會看到的確認選擇
Uniswap LP在網絡釣魚攻擊中已損失超350萬美元:金色財經報道,據最新數據顯示, Uniswap V3 流動資金池遭遇網絡釣魚攻擊,截至目前流動性提供者(LP)已損失了價值 3,278 ETH 的 NFT 頭寸,約合 3,563,644 美元。根據 MetaMask 安全分析師Harry Denley 表示,受害者似乎是更廣泛攻擊的一部分,該攻擊通過偽裝成 UNI 空投發送惡意鏈接以試圖讓用戶簽名,總計攻擊了大約 73,399 個地址。
此前 Binance 首席執行官趙長鵬最先披露了相關消息并質疑可能是 Uniswap V3 協議漏洞,另據最新價格數據顯示,本文撰寫時 UNI 已下挫至 5.54 美元,24 小時跌幅 10%。[2022/7/12 2:07:29]
CPR推導出利用漏洞的步驟——黑客創建惡意NFT并將其贈送給目標受害者;受害者查看惡意NFT后,OpenSea的存儲域會觸發彈出窗口(此類彈窗在該平臺的各種活動中很常見),請求連接到受害者的加密資產錢包上;受害者如果為了獲得這些「免費的NFT」與之交互,就要點擊「連接錢包」,一旦此操作執行,黑客就獲得了訪問受害者錢包的權限;利用觸發其他彈窗這一方式,黑客就可以不斷竊取用戶錢包中的資產。
慢霧:美國演員SethGreen的NFT遭釣魚攻擊,資金已跨鏈到 BTC 并混幣:5月18日消息,美國演員SethGreen遭遇釣魚攻擊致4個NFT(包括1個BAYC、2個MAYC和1個Doodle)被盜,釣魚者地址已將NFT全部售出,獲利近160枚ETH(約33萬美元)。
慢霧MistTrack對0xC8a0907開頭的釣魚地址分析后,發現總共有8個用戶的NFT被盜,包含MAYC、Doodle、BAYC、VOX等12類NFT,全部售出后總獲利194ETH。同時,該釣魚地址初始資金0.188ETH來自Change NOW。釣魚者地址將大部分ETH轉換為renBTC后跨鏈到6個BTC地址,約14BTC均通過混幣轉移以躲避追蹤。NFT釣魚無處不在,請大家保持懷疑,提高警惕。[2022/5/18 3:24:23]
由于這些彈窗是從OpenSea的存儲域發出的,因此CPR也就鎖定了該平臺的漏洞源頭。如果用戶沒有注意到描述交易的彈窗中的注釋,他們很可能點擊彈窗,最終導致整個加密錢包被盜。
慢霧:iCloud 用戶的MetaMask錢包遭遇釣魚攻擊是由于自身的安全意識不足:據官方消息,慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析,首先用戶遭遇了釣魚攻擊,是由于自身的安全意識不足,泄露了iCloud賬號密碼,用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。
MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 來禁止應用程序被用戶和系統進行備份,從而避免備份的數據在其他設備上被恢復。
MetaMask iOS端代碼中沒有發現存在這類禁止錢包數據(如 KeyStore 文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據,當iCloud賬號密碼等權限信息被惡意攻擊者獲取,攻擊者可以從目標 iCloud 里恢復 MetaMask iOS App 錢包的相關數據。
慢霧安全團隊經過實測通過 iCloud 恢復數據后再打開 MetaMask 錢包,還需要輸入驗證錢包的密碼,如果密碼的復雜度較低就會存在被破解的可能。[2022/4/18 14:31:38]
CPR識別并推導出了漏洞及利用路徑,但OpenSea在后續針對此漏洞的聲明中稱,無法確定任何利用此漏洞的實例。
CPR表示,9月26日,他們向OpenSea披露了調查結果,對方響應迅速并共享了包含來自其存儲域的 iframe 對象的 svg 文件,因此CPR 可以一起審查并確保關閉所有攻擊媒介。在不到1個小時時間里,OpenSea修復了該漏洞并驗證了修復。
OpenSea的聲明顯示,這些攻擊依賴于用戶通過第三方錢包為惡意交易提供簽名來批準惡意活動,修復漏洞后,他們已經與和平臺集成的第三方錢包直接協調,以幫助用戶更好地識別惡意簽名請求,以及幫助用戶阻止詐騙和網絡釣魚的舉措攻擊。「我們還圍繞安全最佳實踐加倍進行社區教育,并啟動了一個關于如何在去中心化網絡上保持安全的博客系列。我們鼓勵新用戶和經驗豐富的老手閱讀該系列。我們的目標是讓社區能夠檢測、減輕和報告區塊鏈生態系統中的攻擊,例如 CPR 所展示的攻擊。」
別將錢包輕易與陌生網址相連
這已經不是第一起發生在NFT資產領域的安全事件,受害者也不僅是普通用戶,但更集中在普通用戶群體中,因為無論是平臺還是項目方的的NFT資產被盜,都會影響到普通用戶的收益。
僅今年3月就發生了兩期知名度較高的NFT資產被盜事件。
先是3月15日,社交NFT代幣平臺Roll的熱錢包被盜,黑客從中盜取了部分WHALE和 SKULL等NFT社交代幣,其中部分資金隨后被轉移到交易混合器Tornado。據分析稱,攻擊者在此過程中凈賺了約570萬美元的ETH。受影響的社交代幣價格大幅下跌。
緊接著的3月17日,NFT交易市場Nifty Gateway的數名用戶遭遇了賬號被盜,有受害者稱,黑客從其帳戶中竊取了價值數千美元的數字藝術品;其他被黑客入侵的用戶稱,他們存檔的信用卡被用來購買額外的NFT。Nifty Gateway后續的聲明中提到,遭遇盜號的賬戶因沒有啟用雙因素認證(采用兩種信息來認證本人身份,一般是采用的密碼和動態口令的組合),而黑客通過有效賬號的認證信息獲得了訪問權限。
在非同質化代幣NFT越來越多的與收藏品、有價值的加密資產相連時,黑客的罪惡之手正在伸向NFT持有者的錢包,這也再次反映了NFT依托的區塊鏈網絡安全性的脆弱。
有經驗的用戶曾總結過NFT的攻擊向量,比如,黑客對你的電腦植入木馬病文件,盜取你的登錄信息和其他資料;或者通過惡意軟件記錄鍵盤輸入,竊取你的密碼;抑或通過惡意軟件來獲取屏幕截圖,從而獲得敏感信息;黑客還可能通過劫持DNS,創建釣魚頁面,騙取用戶錢包的助記詞。
這樣看下來,這些攻擊手段與黑客攻擊互聯網時所用的方式并無多大差異,但在互聯網應用上,用戶已經從自己或別人的經驗中獲得了一些防御意識,比如,不隨便點開陌生鏈接。但在使用區塊鏈網絡和加密錢包時,一些用戶變成了「常識歸零」的狀態,這與用戶對加密資產及區塊鏈基礎的陌生感有關,也再次說明區塊鏈基建在普及層面的不成熟。
普通用戶似乎只能從一起起的安全事故中去學習防范技能,普及安全常識也成為加密社區致力做的工作之一。
NFT創作者和收藏家Justin Ouellette就曾在推特上科普過NFT資產的保護措施,「不要在多個平臺上重復使用相同相同的密碼;要學會啟用雙因素認證;要小心那些最小化元蒙版UI的網站(往往是釣魚網站和木馬軟件);不要透露你的助記詞給任何人。」
資產被盜還僅僅是NFT安全的一個層面。近期,華中科技大學區塊鏈存儲研究中心和 HashKey Capital Research對NFT的研究報告顯示,NFT 系統是由區塊鏈、存儲和網絡應用集合而成的技術,其安全保障具有一定的挑戰性,每一個組成部分都有可能成為安全的短板,致使整個系統受到攻擊,仿冒(Spooling)、篡改(Tampering)、抵賴(Repudiation)、信息泄露(Information Disclosure)、拒絕服務(Dos)和權限提升(Elevation of privilege)等方面都是NFT系統存在的風險可能。
在安全之路上,NFT要走的道路還很遠。
1.金色觀察 | 全球加密監管按下廣泛推動鍵針對加密貨幣帶來的風險,各國推行監管政策。諸如對加密貨幣分門別類重點關注證券型代幣的監管;將交易所等加密貨幣提供商作為加密貨幣監管的"抓手";為了打擊.
1900/1/1 0:00:00約瑟夫·熊彼特 (Joseph Schumpeter)在 1942 年創造了創造性破壞一詞。其核心思想是,隨著時間的推移,資本主義傾向于一個更有效率的系統。取代舊的、過時的做事方式.
1900/1/1 0:00:00今年以來,數字人民幣試點進展迅速,“10+1”發展格局基本成形。各地因地制宜制定創新推廣策略,促進數字人民幣在C端與B端場景的加速落地。同時,提高了用戶數字人民幣的使用頻率.
1900/1/1 0:00:00金色財經 區塊鏈10月17日訊 如果你是一位資深游戲迷,想必肯定只有《反恐精英》這款游戲,它是在1999年夏天由游戲公司Valve開發.
1900/1/1 0:00:00隨著波卡金絲雀網絡Kusama第二輪插槽拍賣的落錘,共有246.4萬枚KSM鎖定在平行鏈插槽和眾貸中(約占目前總發行量的21.28%)。根據此前計劃,波卡平行鏈插槽拍賣也將正式開啟.
1900/1/1 0:00:00由于 DeFi 開源透明、去中心化和安全的性質,通過代碼塑造的加密資產想象力更加豐富。因此,除了加密貨幣市場之外,DeFi 衍生品市場也在被開發者們不斷發掘.
1900/1/1 0:00:00