OpenSea:黑客釣魚攻擊閃襲OpenSea用戶_PEN

2月19日，全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約，一些用戶的NFT資產就被盜了。

次日，OpenSea的CEODevinFinzer在推特上披露，「這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止，似乎有32個用戶簽署了來自攻擊者的惡意有效載體，他們的一些NFT被盜。」Finzer稱，攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。

用戶NFT被盜后，不少人在推特上猜測，釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日，該交易平臺正在進行一項智能合約升級，用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息，將釣魚鏈接偽裝成通知郵件。

2月21日，OpenSea的官方推特更新回應稱，攻擊似乎不是基于電子郵件。截至目前，釣魚攻擊的來源仍在調查中。

網絡安全公司：朝鮮黑客組織Lazarus與新的加密貨幣黑客計劃有關:金色財經報道，網絡安全公司Volexity認為受到美國政府制裁的朝鮮黑客組織Lazarus與涉及使用加密站點感染系統以從第三方竊取信息和加密貨幣有關。Volexity博客文章顯示，Lazarus在6月注冊了一個名為bloxholder.com的域名，該域名后來被建立為提供自動加密貨幣交易服務的企業。Lazarus使用該站點作為網頁從用戶的系統中竊取私鑰和其他數據。

Volexity還發現，將此惡意軟件傳送給最終用戶的技術在10月份發生了變化。該方法演變為使用Office文檔，特別是包含宏的電子表格，這是一種嵌入文檔中的程序，旨在在計算機中安裝Applejeus惡意軟件。

金色財經此前報道，Lazarus 于2021 年 2 月被美國司法部 (DOJ)正式起訴，涉及與朝鮮情報組織偵察總局 (RGB) 有關聯的組織的一名特工。[2022/12/6 21:25:00]

OpenSea用戶遭「釣魚」丟失NFT

觀點：新加坡采用新技術使監管機構與私營部門合作，保護用戶免受黑客攻擊:金色財經聯合Coinlive報道，在新加坡舉行的2022年新加坡金融科技節上，Ribbit Capital的合伙人Sigal Mandelker和Anchorage Digital的聯合創始人兼總裁Diogo Mónica參加了題為 \"加密資產的有效政策 \"的會議。在談到監管機構和政策時，他們表示，一些監管對當前的創新和技術來說太陳舊了，特別是對加密貨幣。他們還一致認為，看到世界上一些政府(例如新加坡)正在采用最新技術是件好事，這種技術使監管機構能夠與私營部門攜手合作，保護用戶免受黑客攻擊。[2022/11/4 12:16:38]

2月18日，OpenSea開始了一項智能合約的升級，以解決平臺上的非活躍列表問題。作為合約升級的一部分，所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中，遷移期將持續7天，到美東時間的2月25日下午2點完成，遷移期間，用戶NFT在OpenSea上的舊報價將過期失效。

跨鏈橋Wormhole向白帽黑客satya0x支付1000萬美元漏洞賞金:金色財經消息，跨鏈橋Wormhole今日發布博客表示，在2月24日，化名satya0x的白帽黑客披露了以太坊Wormhole核心橋接合約中的一個嚴重漏洞，這個錯誤是一個可升級的代理實現自毀錯誤，有助于防止潛在的用戶資金鎖定。

Wormhole在報告的同一天驗證并修復了問題，沒有任何用戶資金損失。為此，Wormhole向satya0x支付了創紀錄的1000萬美元的漏洞賞金。[2022/5/21 3:31:33]

2月19日，用戶需要配合完成的操作開始了。人們沒有想到，在忙亂的遷移過程中，黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看，大部分攻擊發生在美東時間下午5點到晚上8點。

東營市首起利用黑客技術盜竊比特幣案件告破:12月16日消息，東營市局東營分局偵破一起“黑客”犯罪案件，也是東營市“凈網”行動以來偵破的首起利用黑客技術盜竊比特幣案件。2020年7月13日，東營分局網安大隊接群眾報警稱其網絡賬戶疑似被人非法入侵，帳號內價值三萬余元的比特幣被盜走。根據報警人陳述，其賬號被盜的網站是一境外網購網站，可使用比特幣進行交易，這是東營分局首次接到此類虛擬貨幣被盜的案件。綜合相關線索，民警最終鎖定但某某有重大嫌疑，并火速趕往浙江臺州將其抓獲。但某某對利用黑客技術入侵云服務器盜取他人賬戶內比特幣的行為供認不諱，目前犯罪嫌疑人被東營分局依法采取刑事強制措施，案件正在進一步辦理中。[2020/12/16 15:22:08]

從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看，19日晚18時56分，被盜的資產開始從黑客地址轉移，并在2月20日10時30分出現了通過混幣工具TornadoCash「洗幣」的操作。

黑客鏈上地址的部分動向

用戶NFT被盜后，「OpenSea被黑客攻擊，價值2億美元資產被盜」的說法開始在網絡上蔓延，人們無從得知失竊案的準確原因，也無法確認到底殃及了多少用戶。

直到2月20日，OpenSea的CEODevinFinzer才在推特上披露，「據我們所知，這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止，似乎有32個用戶簽署了來自攻擊者的惡意有效載體，他們的一些NFT被盜。」Finzer駁斥了「價值2億美元的黑客攻擊的傳言」，并表示攻擊者錢包通過出售被盜NFT獲得了價值170?萬美元的ETH。

區塊鏈安全審計機構PeckShield列出了失竊NFT的數量，共計315個NFT資產被盜，其中有254個屬于ERC-721標準的NFT，61個為ERC-1155標準的NFT，涉及的NFT品牌包括知名元宇宙項目Decentraland的資產和NFT頭像「無聊猿」BoredApeYachtClub等。該機構還披露，黑客利用TornadoCash清洗了1100ETH，按照ETH當時2600美元的價格計算，清洗價值為286萬美元。

攻擊者如何拿到用戶「簽單」授權？

用戶NFT失竊事件發生后，有網友猜測，黑客利用了OpenSea升級的消息，將釣魚鏈接偽造成通知用戶的郵件，致使用戶上當受騙而點擊了危險鏈接。

對此，DevinFinzer表示，他們確信這是一次網絡釣魚攻擊，但不知道釣魚發生在哪里。根據與32名受影響用戶的對話，他們排除了一些可能性：攻擊并非源自OpenSea官網鏈接；與OpenSea電子郵件交互也不是攻擊的載體；使用OpenSea鑄造、購買、出售或列出NFT不是攻擊的載體；簽署新的智能合約不是攻擊的載體；使用OpenSea上的列表遷移工具將列表遷移到新合約上不是攻擊的載體；點擊官網banner頁也不是攻擊的載體。

簡而言之，Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨，OpenSea官方推特明確表示，攻擊似乎不是基于電子郵件。

截至目前，釣魚攻擊到底是從什么鏈接上傳導至用戶端的，尚無準確信息。但獲得Finzer認同的說法是，攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。

推特用戶Neso的說法得到了Finzer的轉發，該用戶稱，攻擊者讓人們簽署授權了一個「半有效的Wyvern訂單」，因為除了攻擊者合約和調用數據之外，訂單基本上是空的，攻擊者簽署了另一半訂單。

該攻擊似乎利用了Wyvern協議的靈活性，這個協議是大多數NFT智能合約的基礎開源標準，OpenSea會在其前端/API上驗證訂單，以確保用戶簽署的內容將按預期運行，但這個合約也可以被其他更復雜的訂單使用。

按照Neso的說法，首先，用戶在Wyvern上授權了部分合約，這是個一般授權，大部分的訂單內容都留著空白；然后，攻擊者通過調用他們自己的合約來完成訂單的剩余部分，如此一來，他們無需付款即可轉移NFT的所有權。

簡單打個比方就是，黑客拿到了用戶簽名過的「空頭支票」后，填上支票的其他內容就搞走了用戶的資產。

也有網友認為，在釣魚攻擊的源頭上，OpenSea排除了升級過的、新的Wyvern2.3合約，那么，不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法，OpenSea還未給出回應。

截至目前，OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶，可以在以太坊瀏覽器的令牌批準檢查程序上取消自己的NFT授權。

Tags：OpenSeaPENNFTENSopensea幣單個價格PenceCoinPHUNK Vault (NFTX)V-Dimension Cloud

加密貨幣