OPEN:針對Opensea的釣魚攻擊，嚇壞了早起的NFT玩家

今晨，關于OpenSea疑似出現bug一事引發了大量關注與熱議。

事件起因為，多位用戶今晨于推特發布警告稱，OpenSea昨日推出的新遷移合約疑似出現bug，攻擊者正利用該bug竊取大量NFT并賣出套利。

CoinShares將針對美國機構投資者推出數字資產管理基金:金色財經報道，向美國證券交易委員會提交的文件顯示，歐洲加密ETP提供商CoinShares正在首次進軍主動管理型的數字資產產品，其中包括針對美國機構的對沖基金CoinShares Bitcoin US Feeder Fund，這似乎是其首個向認可的美國投資者開放的對沖基金。

文件顯示，該基金似乎將在未來幾周內開始交易，支線基金結構表明該工具旨在將有限合伙人資本注入主基金。這反過來又可以成為歐洲投資者流入資本的渠道，有關其投資策略的更多細節尚未立即公布。

截至歐洲最近收盤，CoinShares的資產管理規模（包括其ETP產品中持有的資產）總額約為30億美元。[2023/7/28 16:03:23]

從攻擊者錢包的截圖來看，當前失竊NFT涵蓋BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多種高價值系列，其中部分已以地板價賣出，但也有一部分已原路轉回失竊地址。所謂遷移合約，來自于OpenSea昨日發布的一項新升級。昨日，OpenSea宣布其智能合約升級已完成，新的智能合約已經上線，用戶遷移智能合約需簽署掛單遷移請求，簽署此請求不需要Gas費，無需重新進行NFT審批或初始化錢包。在遷移期間，舊智能合約上的報價將失效。英式拍賣將于合約升級完成后暫時禁用幾個小時，新合約生效后，可以再次創建新的定時拍賣。現有智能合約的荷蘭式拍賣將于北京時間2月26日3時在遷移期結束時到期。事件發生后，OpenSea于官方推特回應稱：“我們正在積極調查與OpenSea智能合同有關的傳聞。這看起來像是來自OpenSea網站外部的網絡釣魚攻擊。不要點擊http://opensea.io之外的任何鏈接。”Alchemix、Sushiswap貢獻者，推特用戶@0xfoobar在事件發生后也于推特發布了關于此事的個人調查。@0xfoobar稱，黑客系使用30天前部署的輔助程序合約來調用4年前部署的OpenSea合約，該輔助合約同樣具有有效的atomicmatch()數據，這可能是起于幾個星期前的一場釣魚攻擊，黑客正趕著在所有掛單過期之前進行攻擊。

美國法院駁回針對幣安等11家公司出售未注冊證券的集體訴訟:4月1日消息，美國紐約南區地方法院于3月31日（當地時間）駁回了一起指控幣安等11家加密貨幣公司通過出售未注冊證券和操縱價格違反美國證券法的集體訴訟。法官駁回的理由是該國的證券法不適用，因為投資者在購買后延遲了一年多才提起訴訟，而且幣安不是美國交易所。2020年4月，Roche Freedman律師事務所發起訴訟，稱幣安等在未取得證券公司資質的情況下以市場價格出售證券，其中包含聲稱被操縱的內容。

該事務所表示，被告公司操縱了EOS、QSP、KNC、TRX、FUN、ICX、OMG、LEND 和 ELF等加密貨幣價格，而沒有提供關于這些加密貨幣的足夠信息。原告將訴狀提交至美國紐約南區，約兩年后法院決定駁回訴狀。此前2020年4月份消息，美國律所Roche Freedman針對加密行業提出11項集體訴訟。訴訟對象分別為幣安、Civic、BProtocol、Status、Block.one、KayDex、Quantstamp、BiBox、TRON Foundation、KuCoin，HDR Global Trading。（khgames）[2022/4/1 14:30:59]

動態 | BitTorrent(BTT) 針對持有波場TRX用戶2月份空投已發放完畢:據官方最新消息，BitTorrent(BTT)針對持有波場TRON（TRX）用戶2月份空投已經發放完畢，所有波場TRON主網以及SUN Network主網中擁有TRX的地址均可獲得對應比例空投的BTT，無需進行任何操作，無論凍結與非凍結皆可獲得空投。按照計劃，快照于2020年2月11號凌晨0點0分0秒（UTC ）完成。區塊高度 #17040656 的時間戳1581379200000， 正好為計劃時間點。在快照時，TRX總量為99904904251.01945。因此最終的空投比例為 TRX/BTT=100.91404469799944。從TRX閾值來看，只有賬戶余額大于等于100TRX的賬戶在此次空投獲得BTT。請社區成員密切關注，下一次空投將在2020年3月11日進行。[2020/2/17]

@0xfoobar進一步分析稱，此事與OpenSea新遷移合約唯一的關系是，由于OpenSea智能合約升級后所有的歷史掛單都將在6天內到期，這其中也包含了所有來自已被釣魚攻破的地址的掛單，所以黑客不得不立即采取行動。換句話說，這是一場釣魚攻擊，而非一場通用智能合約漏洞，OpenSea的合約并沒有出現問題。

動態 | 火狐瀏覽器新版本推出針對加密挖掘惡意軟件的保護措施:據Cointelegraph報道，Mozilla的開源瀏覽器火狐（Firefox）在其新的瀏覽器版本中推出了針對加密挖掘惡意軟件的新保護措施。在Firefox Nightly 68和Beta 67版本中，Mozilla在瀏覽器的部分內容攔截保護套件中啟用了一種新的保護級別，以抵御加密挖掘和指紋識別黑客攻擊。[2019/4/10]

@0xfoobar的分析與其他一些大V不謀而合，gmDAO創始人Cyphr.ETH發推稱，黑客使用了標準網絡釣魚電子郵件復制了幾天前發出的正版OpenSea電子郵件，然后讓一些用戶使用WyvernExchange簽署權限。OpenSea未出現漏洞，只是人們沒有像往常一樣閱讀簽名權限。

至此，本次安全事件的原因已基本清晰，受影響群體為曾點擊過上述郵件并簽署了權限的用戶，出于安全起見，建議這些用戶暫時撤銷OpenSea的所有授權。可用的合約授權簽署工具包括https://revoke.cash/或https://zapper.fi/revoke或https://etherscan.io/tokenapprovalchecker或https://approved.zone/或https://tac.dappstar.io/#/，部分網站可能因當前訪問量過大無法打開，可以多試試。

Tags：SEAENSPENOPENSEA價格SENSI幣PEND價格OPENAIERC幣

BTC