比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > BNB > Info

OPEN:黑客釣魚攻擊閃襲OpenSea用戶_SEA

Author:

Time:1900/1/1 0:00:00

2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。

次日,OpenSea的CEO Devin Finzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。

用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。

2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。

Visor Finance攻擊事件報告:黑客獲取了管理帳戶訪問權限:基于Uniswap V3的DeFi流動性協議Visor Finance就此前發生的攻擊事件發布報告稱,攻擊者獲得了一個管理帳戶的訪問權限,能夠從尚未存入流動性提供者頭寸的存款中提取資金。報告稱,被盜金額約占其300萬美元TVL的16.7%(約合50萬美元),并證實該黑客并非團隊成員,因此對其緊急提款保障措施缺乏充分了解,被盜資金僅限于未配置的資產。(BeInCrypto)[2021/6/21 23:53:12]

2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。

美國最大汽油管道運營商Colonial遭攻擊,黑客索要價值數百萬美元虛擬貨幣贖金:近日,美國主要輸油管道運營商 Colonial pipeline 因被勒索軟件網絡攻擊而被迫關閉,迄今為止,官方表示仍舊在努力恢復服務,尚未給出預計重啟的具體日期。據報道稱,這是迄今為止最具破壞性的數字勒索行動之一,該網絡攻擊中的惡意軟件時勒索軟件,旨在通過加密數據和要求支付報酬來鎖定系統,經常被網絡犯罪團伙使用。\t有知情者表示,黑客索要的贖金或高達數百萬美元虛擬幣。一位市場人士表示,如果原油無法供應,墨西哥灣原油價格可能進一步下跌,而紐約港的原油價格可能上漲。[2021/5/10 21:43:56]

2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。

聲音 | 卡巴斯基:針對加密領域的朝鮮黑客組織已越來越謹慎:安全公司卡巴斯基最近發表研究顯示,針對加密領域的朝鮮黑客組織越來越謹慎。這些黑客組織,例如曾冒充加密貨幣交易所的Lazarus Group,正在對自己的一些惡意軟件的傳送機制和有效載荷進行調整,以減少被抓捕的機會。(CyperGlobe)[2020/1/9]

從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具Tornado Cash「洗幣」的操作。

黑客鏈上地址的部分動向

2018年Q1關鍵事項分析:黑客攻擊交易所損失達6.7億美金:在Node Capital有關2018年Q1關鍵事項的分析中顯示,交易所吸引了公眾密切的注意力,許多專家關于黑客攻擊交易所問題的預測得到了證實。經過匯率浮動調整后,保守估計,以這種方式造成的損失高達6.7億美金。[2018/5/16]

用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。

直到2月20日,OpenSea的CEO Devin Finzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer 駁斥了「價值2 億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT 獲得了價值170?萬美元的ETH。

區塊鏈安全審計機構 PeckShield 列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland 的資產和NFT頭像「無聊猿」Bored Ape Yacht Club等。該機構還披露,黑客利用Tornado Cash清洗了1100 ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。

用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。

對此,Devin Finzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea 鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約(Wyvern 2.3 合約)不是攻擊的載體;使用 OpenSea 上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。

簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。

截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。

推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的 Wyvern 訂單」,因為除了攻擊者合約和調用數據(calldata)之外,訂單基本上是空的,攻擊者簽署了另一半訂單。

該攻擊似乎利用了Wyvern 協議的靈活性,這個協議是大多數 NFT 智能合約(包括在 OpenSea上制定合約)的基礎開源標準,OpenSea 會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。

按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移 NFT 的所有權。

簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。

也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern 2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。

截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序(Ethereum Token Approval)上取消自己的NFT授權。

Tags:OPENSEAOpenSeaENSOpennityOSEANBOpenSeaOracle Top 5 Tokens Index

BNB
區塊鏈:區塊鏈架構與擴容方案_TOP1

區塊鏈大致上分為三大主層: Layer0層 主要工作是針對區塊鏈與傳統網絡結合的非共識問題,可以簡單理解為網際網絡的資料傳輸,目前只有少數項目針對Layer0進行研究與開發.

1900/1/1 0:00:00
AXI:更優質的元宇宙游戲需要提高可玩性并減少對收益的關注_slp幣總量為什么增加了

更優質的元宇宙游戲需要提高可玩性并減少對收益的關注如果你不愿意加入馬克·扎克伯格的元宇宙,壞消息是:你已經身處其中了。你不需要虛擬現實頭盔來進入虛擬世界.

1900/1/1 0:00:00
比特幣:項目周刊|美國科羅拉多州今年夏天將接受比特幣納稅_UTU Coin

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是項目周刊,帶您一覽本周主流項目以及明星項目的進展.

1900/1/1 0:00:00
NFT:金色Web3.0周報 |Web 3瀏覽器Opera宣布集成DeFi交易平臺DeversiFi_區塊鏈通俗易懂的例子圖

1.DeFi代幣總市值:1102.76億美元 DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量:31.

1900/1/1 0:00:00
元宇宙:金色觀察 | 什么因素決定元宇宙中地塊的價格_Evident Proof Transaction Token

作者為Outlier Ventures前員工、現某對沖基金負責人Joel John 如果你是游戲玩家,上面的圖片可能會引發美好的回憶.

1900/1/1 0:00:00
CHA:價值探索 加密行業的最佳入場券_adultchain

對于即將要來到的市場及行業循環周期中,BTC,ETH等走勢向下之際, QTC會走出自己的獨立行情嗎?下面從幾個方向來分析一下QITCHAIN:(一)?QitChain 的簡單介紹Qitchain.

1900/1/1 0:00:00
ads