比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 火幣APP > Info

NFT:NFT交易平臺安全風險頻發 OpenSea、X2Y2安全事件分析_Helper Search Token

Author:

Time:1900/1/1 0:00:00

一、OpenSea事件描述

近日,OpenSea首席執行官Devin Finzer在一條推文表示:"到目前為止,有32個用戶簽署了來自攻擊者的入侵,他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。

"我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞,這似乎是源于OpenSea網站之外的釣魚攻擊。請不要點擊opensea.io以外的鏈接。"

SharkTeam第一時間對此事件進行了攻擊技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

PeckShield:Nomad攻擊者之一也是NFT金融協議OMNI的攻擊者:8月9日消息,PeckShield發推稱,Nomad攻擊者之一也是去中心化NFT金融協議OMNI的攻擊者,該地址在Nomad攻擊事件中獲得594萬美元。

7 月上旬,OMNI 遭到攻擊,攻擊者利用 ERC721 的重入了清算函數。由于 OMNI 的清算邏輯存在問題,在清算后不正確地清空了攻擊者債務,因此攻擊者可以獲利,被盜資金已轉移至 Tornado Cash。[2022/8/9 12:12:56]

二、OpenSea事件攻擊原理分析

攻擊者賬戶(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻擊合約(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd

NeoTokyo Citizens系列NFT24小時內交易量漲幅超999%:金色財經消息,據NFTGo.io數據顯示,NeoTokyo Citizens系列NFT24小時內的交易量超18萬美元,24小時內漲幅達999.92%,目前NeoTokyo Citizens系列NFT地板價為9.89ETH,24小時內漲幅為35.85%。[2022/7/20 2:24:46]

1. 創建攻擊合約

交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779

2. 發起攻擊

Luka Garza推出NIL、NFT區塊鏈平臺:2月22日消息,前奈史密斯和伍登國家年度最佳球員Luka Garza推出MVP.Market,Luka Garza成為第一位推出自己的 NFT系列的大學運動員,Luka Garza推出了Luka Garza NFT Group.io以探索NIL的獨特解決方案(即名稱、圖片和 Likeness)利用區塊鏈技術和其他獨特的解決方案,希望揭示以前未被發現的新資產類別。MVP.Market 選擇在自己的區塊鏈上建立其 NFT 市場,以便輕松注冊、使用借記卡/信用卡或加密貨幣購買。(prnewswire)[2022/2/22 10:06:46]

以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad為例,

NFT市場Mars Panda為新加坡NTUC慈善活動提供支持并正式啟動:11月3日消息,具備完全KYC解決方案的NFT市場平臺Mars Panda在為Blockchain Association Singapore(BAS)和National Trades Union Congress(NTUC)U Care Fund NFT慈善拍賣活動“Blockchain For Good”提供動力后正式啟動。該活動為NTUC-U Care Fund籌集了超過最初目標25萬美元的資金,籌集的資金將用于支持一些援助計劃,如幫助家庭支付孩子的生活費用和教育費用,以及照顧老人等。(PR Newswire)[2021/11/3 6:28:40]

執行過程如下:

WyvernExchange合約atomicMatch函數如下:

其中,訂單簽名校驗requireValidOrder函數如下:

函數中包含了掛單授權(簽名)的校驗,因此,攻擊者發起攻擊交易,將NFT從原來持有者賬戶(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 記為0xf2d2)轉賬到攻擊者賬戶,需要獲取到賬戶0xf2d2的授權(簽名)。

攻擊者要想獲取到其他賬戶的簽名,可以通過以下方法:

(1)獲得賬戶的私鑰

(2)簽名重放攻擊

(3)通過網絡釣魚等詐騙方式獲取用戶的私鑰或者簽名。

這里,攻擊者明顯并沒有獲取到賬戶0xf2d2的私鑰,而且函數中有防止簽名重放的措施:

另外,也沒有從交易中發現簽名重放攻擊。

因此,我們分析,被攻擊的用戶意外簽署了來自攻擊者的惡意交易,攻擊者獲得了用戶的掛單授權,然后利用該授權簽名竊取了用戶的NFT。綜上所述,我們認為此次攻擊事件是由鏈下的網絡釣魚攻擊引起的,而不是鏈上合約代碼漏洞造成的。

三、X2Y2安全事件

無獨有偶,2022年2月18日,大V賬號(DiscusFish)在Twitter上面指出,NFT交易平臺X2Y2上面NFT掛單挖礦存在風險。

此外,還指出X2Y2上掛單挖礦模式所采用的交易 Exchange 合約是可升級合約,升級權限(proxyAdmin的owner)是官方單地址,理論上存在官方通過升級合約,然后轉走用戶NFT的可能。

X2X2團隊針對可升級合約的漏洞,采用多簽錢包和時間鎖對合約進行了修復:

四、安全建議

OpenSea被攻擊事件屬于網絡釣魚攻擊,而X2Y2的問題在于合約漏洞。鑒于此,我們提出以下建議:

1.項目方在開發過程中,要保證業務邏輯以及合約代碼的嚴謹性,選擇多家知名負責的審計公司進行多倫審計。

2. 項目參與者在涉足區塊鏈項目時請提高警惕,盡可能選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,在發起交易、簽名授權時要謹慎,盡可能地只通過官方指定的網站參與投資。

Tags:NFTENSSEAOpenSeaBabyNFT ARTOpenSwapHelper Search TokenBOpenSea

火幣APP
NFT:除巨鯨外, 還有哪些類型的 NFT 持有者潛入海底?_Unicly CryptoPunks Collection

在加密貨幣市場,巨鯨是指持有大量特定代幣的對象——個人、機構和交易所。例如,當談到比特幣時,巨鯨一般是指持有 1000 個或更多比特幣的賬戶.

1900/1/1 0:00:00
NFT:NFT是一場不能輸的戰役 附4月21日數字藏品關注重點_CRY

近日,總資產管理規模 1500 億美元的橋水基金(Bridgewater Associates)計劃支持一家外部加密投資基金,從而開始涉及加密領域.

1900/1/1 0:00:00
NFT:陳冠希入局NFT大賺1億 五種維度告訴你NFT項目鑒別技巧_ETHA

自從去年年中冠希哥高調宣布入場NFT以來,不遺余力孵化自家的NFT。從The Heart Project到好兄弟周杰倫,冠希哥在潮流圈NFT場場都不落.

1900/1/1 0:00:00
NFT:在軍事沖突期間 NFT項目已經在尋求重建烏克蘭_IMI

最近對烏克蘭的入侵讓世界陷入了一種充滿不確定性、動蕩和地緣風險的狀態。全球金融市場的動蕩給數百萬投資者造成了巨大的損失.

1900/1/1 0:00:00
NFT:NFT市場量價雙跌 泡沫將破裂?_PUN

截至4月6日,NFT最大的交易市場OpenSea的當日交易額為9479萬美元,30日內下降了24.84%;隨之下降的還有用戶數,35.86萬個獨立地址數較一個月前少了20.18%.

1900/1/1 0:00:00
NFT:Queen皇后樂隊的音樂NFT-Melos丨追風社 AMA_MELOS

2022年 3月 15日15:00,Melos做客追風社,與大家分享 AMA 內容的嘉賓是Co-Founder Yalu LIN。以下是本次 AMA 的文字整理.

1900/1/1 0:00:00
ads