SEA:針對的Opensea釣魚攻擊，嚇壞了早起的NFT玩家

今晨，關于OpenSea疑似出現bug一事引發了大量關注與熱議。

事件起因為，多位用戶今晨于推特發布警告稱，OpenSea昨日推出的新遷移合約疑似出現bug，攻擊者正利用該bug竊取大量NFT并賣出套利。

從攻擊者錢包的截圖來看，當前失竊NFT涵蓋BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多種高價值系列，其中部分已以地板價賣出，但也有一部分已遠路轉回失竊地址。

Independent Reserve CEO：美國針對加密行業的敵對環境將把相關投資和創新推向海外:金色財經報道，加密貨幣交易所Independent Reserve首席執行官Adrian Przelozny表示，最近銀行業的困境不是由于“加密貨幣領域的任何失敗”，而是由銀行以“不負責任的方式”管理風險造成的。他補充說：“白宮最好檢討銀行業的做法。”

在談到SEC最近針對Coinbase的行動時，Przelozny表示，美國針對“加密行業的敵對環境”將把相關的“就業、投資和未來創新”推向海外。

Przelozny說，“新加坡、中國香港，可能還有澳大利亞”都在關注該行業的利益，可能會成為更好的投資目的地，這些國家“將獲得經濟利益”。（Cointelegraph）[2023/3/24 13:23:58]

所謂遷移合約，來自于OpenSea昨日發布的一項新升級。昨日，OpenSea宣布其智能合約升級已完成，新的智能合約已經上線，用戶遷移智能合約需簽署掛單遷移請求，簽署此請求不需要Gas費，無需重新進行NFT審批或初始化錢包。在遷移期間，舊智能合約上的報價將失效。英式拍賣將于合約升級完成后暫時禁用幾個小時，新合約生效后，可以再次創建新的定時拍賣。現有智能合約的荷蘭式拍賣將于北京時間2月26日3時在遷移期結束時到期。

拜登簽署加密行政法令，針對6個關鍵優先事項制定國家數字資產政策:3月9日消息，白宮發布拜登簽署加密行政法令的情況說明書，首次提及要求官方全員（whole of government）針對加密資產及技術的風險與利弊進行評估。行政法令針對6個關鍵優先事項制定了國家數字資產政策，分別是：消費者和投資者保護、金融穩定、非法金融活動、美國在全球金融系統及經濟競爭中的領先地位、金融包容性以及負責任的創新。[2022/3/9 13:47:19]

事件發生后，OpenSea于官方推特回應稱：“我們正在積極調查與OpenSea智能合同有關的傳聞。這看起來像是來自OpenSea網站外部的網絡釣魚攻擊。不要點擊http://opensea.io之外的任何鏈接。”

以太坊客戶端Nethermind：難度炸彈和EIP-3554是針對試圖分叉鏈的攻擊者的防御措施:以太坊客戶端Nethermind在推特上表示，難度炸彈和EIP-3554是針對試圖分叉鏈的攻擊者的防御措施，它確保以太坊有持續的維護和變更的緊迫性。此外，如果核心開發者在部署變更方面拖沓，難度炸彈就會出現，以太坊就會變得不可用。而最為重要的是，當Eth1-Eth2合并發生時，將鼓勵每個人轉至PoS系統，否則他們將冒著留著一個不可用的鏈上的風險。與此同時，首席開發者Tim Beiko表示，他懷疑如果不是因為有難度炸彈，倫敦升級可能會在1至6個月后進行。倫敦升級目前正處于Ropsten測試網的最后測試階段。在6月24日開始的測試中，已經有超過100000枚ETH被銷毀。注：倫敦升級將納入EIP-3554，以將難度炸彈延遲至2021年12月1日。（BeInCrypto）[2021/7/13 0:49:00]

Alchemix、Sushiswap貢獻者，推特用戶@0xfoobar在事件發生了也于推特發布了關于此事的個人調查。@0xfoobar稱，黑客系使用30天前部署的輔助程序合約來調用4年前部署的OpenSea合約，該輔助合約同樣具有有效的atomicmatch()數據，這可能是起于幾個星期前的一場釣魚攻擊，黑客正趕著在所有掛單過期之前進行攻擊。

@0xfoobar進一步分析稱，此事與OpenSea新遷移合約唯一的關系是，由于OpenSea智能合約升級后所有的歷史掛單都將在6天內到期，這其中也包含了所有來自已被釣魚攻破的地址的掛單，所以黑客不得不立即采取行動。換句話說，這是一場釣魚攻擊，而非一場通用智能合約漏洞，OpenSea的合約并沒有出現問題。

@0xfoobar的分析與其他一些大V不謀而合，gmDAO創始人Cyphr.ETH發推稱，黑客使用了標準網絡釣魚電子郵件復制了幾天前發生的正版OpenSea電子郵件，然后讓一些用戶使用WyvernExchange簽署權限。OpenSea未出現漏洞，只是人們沒有像往常一樣閱讀簽名權限。

至此，本次安全事件的原因已基本明了，受影響群體為曾點擊過上述郵件并簽署了權限的用戶，出于安全起見，建議這些用戶暫時撤銷OpenSea的所有授權。可用的合約授權簽署工具包括https://revoke.cash/或https://zapper.fi/revoke或https://etherscan.io/tokenapprovalchecker或https://approved.zone/或https://tac.dappstar.io/#/，部分網站可能因當前訪問量過大無法打開，可以多試試。

Tags：PENOPENENSSEAPepeNetworkOPENX幣GenshinFlokiSEAMON

火幣APP