OPEN:OpenSea釣魚攻擊事件啟示：警惕三個安全教訓

2月19日，攻擊者使用了看似「毫無技巧」的電子郵件網絡釣魚攻擊，成功從一名OpenSea用戶手中盜走了254個NFT，其中包含價值不菲的Decentraland和BoredApeYachtClub系列藏品。這位用戶收到了偽造的電子郵件并被要求批準智能合約，而在用戶批準了合約之后，黑客順利地從被釣魚用戶的錢包中提走了NFT。

發送給用戶的仿冒網站電子郵件到目前為止，網絡釣魚是人們在Web2和Web3中損失資金的最常見方式，不過在Web3中，由于智能合約的額外風險點，所以問題更嚴重。我們必須從OpenSea網絡釣魚攻擊中吸取三個主要的安全教訓，以便對未來的攻擊保持警惕。1.通過智能合約竊取加密貨幣容易

Tiger Global將OpenSea估值下調至30億美元:4月25日消息，Tiger Global已將其在OpenSea的權益價值從1.268億美元下調至3020億美元，降幅76%。據此推算，Tiger Global已將OpenSea估值下調至30億美元。

此前報道，OpenSea于2022年1月宣布以133億美元的投后估值完成3億美元C輪融資，Paradigm和Coatue領投，Tiger Global等參投。[2023/4/26 14:26:47]

Crypto Bull NFT：NFT無法在OpenSea個人收藏頁面查看系BUG導致，團隊正在修復中:12月14日消息，NFT項目Crypto Bull在社交媒體上發文表示，目前其NFT因BUG導致無法在OpenSea個人賬戶頁面正常顯示，從以太坊瀏覽器中查看智能合約依然可以看到錢包中的NFT，目前Crypto Bull團隊正在修復該問題。[2021/12/14 7:38:15]

大多數DeFi協議使用的經典Approval合約「Approval」幾乎是所有基于智能合約的代幣的功能，當用戶「Approval」另一個錢包時，就意味著允許該錢包稍后從用戶自己的錢包中轉移代幣。例如，如果我「Approval」我「0x123」錢包的USDC和無聊猿NFT，那「0x123」就可以將這些代幣轉出。大多數DeFi協議都使用「Approval」作為將資產轉移到協議的主要方法。「Icephishing」是微軟創造的一個術語，是指一種誘騙用戶批準黑客地址的行為。只需單擊MetaMask窗口中的一個按鈕，用戶就可以將資金的完全訪問權限授予黑客，而這正是此次OpenSea網絡釣魚期間發生的事情。2.很難判斷何時被智能合約網絡釣魚

以太坊客戶端OpenEthereum即將推出支持Berlin硬分叉的新版本:以太坊客戶端OpenEthereum官方剛剛發推稱，現在離Berlin硬分叉已經越來越近了。OpenEthereum下一個版本將基于2.5.13穩定版，該版本將對所有bug進行修復，以及包含對2.7和3.0之后版本的硬分叉支持。

注：OpenEthereum前身為以太坊客戶端Parity。[2020/8/14]

你能看出區別嗎？電子郵件網絡釣魚是大多數人不再擔心的事情：現代垃圾郵件過濾器和多年的經驗使電子郵件網絡釣魚對于大多數精明的用戶來說已成為過去。相比之下，Web3存在一些挑戰，使得從常規合約中識別網絡釣魚合約變得更加困難。在上面示例的頂部，會看到簽名時使用的網站URL并不相同：左側是「uniswap.org」，右側是「unLswap.org」。如果用戶沒有抓住容易忽略的細節并簽署合約，對不起，這樣就會丟失錢包中的所有USDC。雖然網站URL欺騙是一種經典的網絡釣魚策略，但是當執行黑客攻擊時唯一需要的只是按下批準按鈕時，它的危害就會變得很大。3.嚴重缺乏為加密用戶構建的反網絡釣魚技術

OpenSky業務開發經理：歐洲公共部門部署區塊鏈技術的需求日益增長:在歐洲，無論是在國家層面還是在歐盟層面都在考慮通過區塊鏈實現電子政務，而且由于新冠疫情，在線提供公共服務非常重要。

IT咨詢公司OpenSky業務開發經理Susanne McCabe稱，公共支出和改革部的改革部門正在發布有關政府潛在用途和挑戰的指南。區塊鏈越來越多地出現在對話中。然而在政府中，技術必須證明自己。國際上的例子比比皆是，比如愛沙尼亞、瑞典等。OpenSky已申請EU Horizon 2020研究基金，該項目初步利用區塊鏈作為數字驅動因素，與愛爾蘭、德國和西班牙主要合作伙伴保持部分所有權模式的合規性。“去年我們開始這一旅程；雖然該領域有一些非常成熟的關鍵組織為金融服務提供區塊鏈，但我們沒有看到政府方面的專家，這就是我們的切入點。因此，今年我們采取關鍵舉措增強能力，將在2020年底推出Blockchain 4 Government實踐。”她表示愛爾蘭在采用區塊鏈方面處于有利地位。

今年OpenSky成立區塊鏈研究部門。該公司正與一些政府客戶開發概念驗證，研究該技術如何適用于其各自任務，并與戰略合作伙伴微軟和PA Consulting合作。（Businesspost）[2020/5/31]

Gmail的自動垃圾郵件過濾器，每天可保護數百萬人免受網絡犯罪的侵害也許反網絡釣魚技術的最大例子是垃圾郵件過濾器：它已成為互聯網上經常被忽視的重要基石。也正因為垃圾郵件過濾器會自動檢測幾乎所有的網絡釣魚攻擊，因此Web2網絡釣魚攻擊已經失去了大部分效力。然而，在Web3中，幾乎沒有任何保護措施來防止用戶意外地從「unlswap.org」或「sushl.com」批準合約，我們有責任仔細觀察，從而確保永遠不會犯錯誤。由于網絡釣魚詐騙通常很容易避免，因此在現代互聯網中長大的人，往往會輕視網絡釣魚詐騙的有效性以及那些被網絡釣魚詐騙的人。實際上，由于易于執行和投資回報，網絡釣魚詐騙仍然是最常見的網絡犯罪類型。為了規避加密中的網絡釣魚，開發人員社區需要聯合起來開發軟件，使網絡釣魚者更難竊取資金。

OpenSea這些大型加密項目可能成為網絡釣魚攻擊的目標DeathStar提出的防范網絡釣魚攻擊的新思路而在不久前剛剛結束的EthDenver2022上，一個名為DeathStar的項目脫穎而出，該項目旨在通過開源良性flashbots來解決網絡釣魚問題。這些flashbots可在資金從錢包中轉出時進行檢測，一旦檢測到資金是轉移到不受信任的地址時，MEV領跑者就會立即以兩倍Gas費發送一個交易，把用戶的所有資產轉移到備用地址。。我提到這一點只是為了鼓勵其他開發人員繼續考慮其他方法來阻止網絡釣魚攻擊。盡管網絡釣魚攻擊和詐騙具有簡單而不成熟的內涵，但成為它們犧牲品的危險是非常真實的。由于Web3如此年輕，因此在Web3生態里建立起更好的保護措施來對抗它們之前，與網絡釣魚面對面將是司空見慣的事情。每一次成功的騙局背后，都會有一個用戶停止使用Web3，而Web3生態在沒有任何新用戶的情況下，將無處可去。原地址

Tags：PENOPENENSWEBOpen CampusQUEENSHIBA價格IPWeb

FIL幣