PEN:針對Opensea的釣魚攻擊，嚇壞了早起的NFT玩家_SEA

今晨，關于OpenSea疑似出現bug一事引發了大量關注與熱議。

事件起因為，多位用戶今晨于推特發布警告稱，OpenSea昨日推出的新遷移合約疑似出現bug，攻擊者正利用該bug竊取大量NFT并賣出套利。

法國立法者正在起草一項針對NFT的定制法案:金色財經報道，法國立法者正在起草一項針對NFT的定制法案，并為在虛擬游戲中具有貨幣化價值的數字對象建立護欄。關于web3游戲中NFT的一套新規則的協議可能會在幾個月內達成。該框架被稱為JONUM，已在法國議會上院通過一讀。它于7月移交給國民議會，立法者將在暑假后進行討論。[2023/8/13 16:23:20]

從攻擊者錢包的截圖來看，當前失竊NFT涵蓋BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多種高價值系列，其中部分已以地板價賣出，但也有一部分已原路轉回失竊地址。所謂遷移合約，來自于OpenSea昨日發布的一項新升級。昨日，OpenSea宣布其智能合約升級已完成，新的智能合約已經上線，用戶遷移智能合約需簽署掛單遷移請求，簽署此請求不需要Gas費，無需重新進行NFT審批或初始化錢包。在遷移期間，舊智能合約上的報價將失效。英式拍賣將于合約升級完成后暫時禁用幾個小時，新合約生效后，可以再次創建新的定時拍賣。現有智能合約的荷蘭式拍賣將于北京時間2月26日3時在遷移期結束時到期。事件發生后，OpenSea于官方推特回應稱：“我們正在積極調查與OpenSea智能合同有關的傳聞。這看起來像是來自OpenSea網站外部的網絡釣魚攻擊。不要點擊http://opensea.io之外的任何鏈接。”Alchemix、Sushiswap貢獻者，推特用戶@0xfoobar在事件發生后也于推特發布了關于此事的個人調查。@0xfoobar稱，黑客系使用30天前部署的輔助程序合約來調用4年前部署的OpenSea合約，該輔助合約同樣具有有效的atomicmatch()數據，這可能是起于幾個星期前的一場釣魚攻擊，黑客正趕著在所有掛單過期之前進行攻擊。

美國在新的加密貨幣法案中針對薩爾瓦多:金色財經報道，美國新澤西州的Bob Menendez（民主黨人）和愛達荷州的Jim Risch（共和黨人）批評薩爾瓦多并發布了一種新形式的立法，旨在讓該國坦白并對其行為負責。該法案被稱為《薩爾瓦多加密貨幣問責法案》，旨在讓薩爾瓦多制定一份新報告，討論其如何使用加密貨幣以及如何確保用戶安全。[2023/6/26 21:59:32]

美SEC將針對WisdomTree比特幣ETF申請的決定推遲至7月14日:上周，美國SEC推遲了對CboebZx是否能夠上市資產管理公司WisdomTree比特幣ETF的決定。5月26日，SEC宣布將把上市決定日期由5月30日推遲到7月14日，“以便有足夠的時間考慮擬議的規則修改和收到的意見”。規則修改本身只是允許WisdomTree比特幣信托基金（BTCW）上市。

WisdomTree在3月11日向SEC提交了一份招股說明書，而Cboe在3月26日提出了這一規則修改。從那時起，SEC只收到了四條評論。然而從歷史上來看，該監管機構往往會拖延或拒絕比特幣ETF申請。4月底，Cboe提出的VanEckETF上市計劃也遭到了類似的推遲。到目前為止，還沒有比特幣ETF在美國推出，不過一些人認為多倫多證券交易所出現的幾只比特幣ETF是一個好兆頭。（The Block）[2021/6/2 23:06:04]

@0xfoobar進一步分析稱，此事與OpenSea新遷移合約唯一的關系是，由于OpenSea智能合約升級后所有的歷史掛單都將在6天內到期，這其中也包含了所有來自已被釣魚攻破的地址的掛單，所以黑客不得不立即采取行動。換句話說，這是一場釣魚攻擊，而非一場通用智能合約漏洞，OpenSea的合約并沒有出現問題。

聲音 | 分析師：針對澳本聰的裁決似乎只是一個謠言:針對澳本聰須將2014年之前持有的50%的比特幣和相關知識產權給與Kleiman一事，加密貨幣分析師Lisa N. Edwards發推表示，該案件并未結束，這只是一個謠言，如果澳本聰不是中本聰，那他如何給出這些東西。況且此前澳本聰還偽造過文件。這一切似乎都很矛盾。[2019/8/27]

@0xfoobar的分析與其他一些大V不謀而合，gmDAO創始人Cyphr.ETH發推稱，黑客使用了標準網絡釣魚電子郵件復制了幾天前發出的正版OpenSea電子郵件，然后讓一些用戶使用WyvernExchange簽署權限。OpenSea未出現漏洞，只是人們沒有像往常一樣閱讀簽名權限。

至此，本次安全事件的原因已基本清晰，受影響群體為曾點擊過上述郵件并簽署了權限的用戶，出于安全起見，建議這些用戶暫時撤銷OpenSea的所有授權。可用的合約授權簽署工具包括https://revoke.cash/或https://zapper.fi/revoke或https://etherscan.io/tokenapprovalchecker或https://approved.zone/或https://tac.dappstar.io/#/，部分網站可能因當前訪問量過大無法打開，可以多試試。

Tags：PENOPENSEAENSOpennityOpenSeaSearch Enginebensojd

歐易交易所app下載