一、OpenSea事件描述
近日,OpenSea首席執行官Devin Finzer在一條推文表示:"到目前為止,有32個用戶簽署了來自攻擊者的入侵,他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。
"我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞,這似乎是源于OpenSea網站之外的釣魚攻擊。請不要點擊opensea.io以外的鏈接。"
SharkTeam第一時間對此事件進行了攻擊技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
數字游戲孵化器Ludus收購NFT游戲開發商LookLabs:金色財經報道,專注于投資、運營和提供游戲解決方案的數字游戲孵化器Ludus收購NFT游戲開發商LookLabs,具體金額暫未披露, LookLabs 目前正在制作兩款新游戲,并計劃在 2023 年進一步擴大其游戲產品組合,旨在讓 P2E 游戲更容易上手、更簡單、更有趣。據悉,Ludus 最近還收購了電子競技團隊 LDN UTD。(europeangaming)[2023/2/14 12:05:04]
二、OpenSea事件攻擊原理分析
攻擊者賬戶(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74
攻擊合約(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd
Beeple與Metaplex合作,擬進軍Solana鏈上NFT市場:11月7日消息,在里斯本舉行的Solana BreakPoint會議上,Solana的NFT托管和鑄造平臺 Metaplex 的開發公司Metaplex Studios 的首席執行官Stephen Hess宣布已與Beeple達成合作,擬推動后者進軍Solana鏈上NFT市場。
Stephen Hess在會議上披露了一項受Beeple啟發的新功能,該功能將邀請用戶使用Beeple Everyday創建自己獨特的 NFT。關于該功能的詳細信息將于本周發布。[2022/11/7 12:29:17]
1. 創建攻擊合約
交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779
GameFi NFT 平臺Lootex完成 900 萬美元融資:金色財經報道,GameFi NFT 平臺Lootex已完成由 Spartan Capital、Infinity Ventures Crypto、LD Capital 和游戲和娛樂公司 Akatsuki 共同領投的 900 萬美元種子輪融資。這筆資金將幫助 Lootex 進一步開發其交易平臺,該平臺目前擁有 500 個集合中的 12,000 多個 NFT。\u2028\u2028[2022/1/11 8:41:55]
2. 發起攻擊
NFT社交平臺Showtime宣布將于周二上線,天使投資者包括Coinbase前CTO:3月14日消息,NFT社交平臺Showtime宣布該平臺將于周二上線。據此前報道,Showtime完成預種子輪融資,由Dragonfly Capital領投,Robot Ventures、Bollinger Investment Group等投資機構參投,天使投資者包括CoinShares首席戰略官Meltem Demirors、Polynexus Capital管理合伙人Andrew Steinwold、Paris Rouzati、K2 Global合伙人Minal Hasan 、Coinbase前首席技術官Balaji S.Srinivasan等。[2021/3/14 18:43:24]
以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad為例,
執行過程如下:
WyvernExchange合約atomicMatch函數如下:
其中,訂單簽名校驗requireValidOrder函數如下:
函數中包含了掛單授權(簽名)的校驗,因此,攻擊者發起攻擊交易,將NFT從原來持有者賬戶(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 記為0xf2d2)轉賬到攻擊者賬戶,需要獲取到賬戶0xf2d2的授權(簽名)。
攻擊者要想獲取到其他賬戶的簽名,可以通過以下方法:
(1)獲得賬戶的私鑰
(2)簽名重放攻擊
(3)通過網絡釣魚等詐騙方式獲取用戶的私鑰或者簽名。
這里,攻擊者明顯并沒有獲取到賬戶0xf2d2的私鑰,而且函數中有防止簽名重放的措施:
另外,也沒有從交易中發現簽名重放攻擊。
因此,我們分析,被攻擊的用戶意外簽署了來自攻擊者的惡意交易,攻擊者獲得了用戶的掛單授權,然后利用該授權簽名竊取了用戶的NFT。綜上所述,我們認為此次攻擊事件是由鏈下的網絡釣魚攻擊引起的,而不是鏈上合約代碼漏洞造成的。
三、X2Y2安全事件
無獨有偶,2022年2月18日,大V賬號(DiscusFish)在Twitter上面指出,NFT交易平臺X2Y2上面NFT掛單挖礦存在風險。
此外,還指出X2Y2上掛單挖礦模式所采用的交易 Exchange 合約是可升級合約,升級權限(proxyAdmin的owner)是官方單地址,理論上存在官方通過升級合約,然后轉走用戶NFT的可能。
X2X2團隊針對可升級合約的漏洞,采用多簽錢包和時間鎖對合約進行了修復:
四、安全建議
OpenSea被攻擊事件屬于網絡釣魚攻擊,而X2Y2的問題在于合約漏洞。鑒于此,我們提出以下建議:
1.項目方在開發過程中,要保證業務邏輯以及合約代碼的嚴謹性,選擇多家知名負責的審計公司進行多倫審計。
2. 項目參與者在涉足區塊鏈項目時請提高警惕,盡可能選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,在發起交易、簽名授權時要謹慎,盡可能地只通過官方指定的網站參與投資。
Tags:NFTPLEPENENSNFTBooksPLEBpendle幣最新消息GensoKishi Metaverse
我們知道,貨幣本質上是一般等價物,是具有價值共識的載體。在現代社會,個人的財富早已不再通過持有的貨幣數量來衡量,而更多是看其名下的資產.
1900/1/1 0:00:00寫在前面: 總是聽說將游戲道具NFT化對玩家來說是一種好處,因為將所有權下放至玩家就意味著游戲廠商不再是唯一掌握游戲的一方.
1900/1/1 0:00:00目前,元宇宙、NFT熱度不斷上升,國內外的投資者、明星名人都在關注相關領域,并積極參與,試圖從中分得一杯羹.
1900/1/1 0:00:00昨天晚上,Bored Ape Yacht Club 終于推出代幣APE,持有1只無聊猿的可以領到超過1萬個APE代幣,在某些交易所的價格一度沖到50美元,目前價格回落至12美元左右,即便如此.
1900/1/1 0:00:00藝術家米哈-道巴克(Michah?Dowbak)將他的風格歸功于他的父親。“我的父親是一位彩色玻璃藝術家,我小時候總是圍繞著色彩和光線玩耍,你可以察覺到,童年的生活環境如何真正激發了我今天的藝術.
1900/1/1 0:00:00前段時間 NFT 市場上充斥著一個怪相 —— 大量個人/項目試圖銷售一堆莫名其妙的NFT,看上去好像還很賺錢,但事實真的是這樣的么?如果你還對這樣的“輕松錢”感到好奇,并希望復制一樣的奇跡.
1900/1/1 0:00:00