以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

ETH:簽名就被盜NFT!opensea協議被攻擊!小心小心!

Author:

Time:1900/1/1 0:00:00

NFT被盜的各個手法大家應該經過這么久的市場教育已經比較熟悉了,主要是通過誘導你點擊某個按鈕觸發approve事件將你的NFT授權給別人,從而對方可以轉移走,這種手法其實已經識別度很高了,畢竟它需要把小狐貍彈出來后,讓你交一筆gas費完成approve操作,一到了交錢的時候畢竟大家也會意識到有問題了,但是我今天要講的這個手法真的讓我后背發涼,如果我的朋友沒有遇到我真的不會意識到,如果我遇到了我也一定會中招!所以大半夜的在凌晨3點我需要將它寫下來分享給大家,請轉發預警周圍的朋友們!

今天晚上我的一位朋友說他登錄了一個假冒網站,然后僅僅進行了簽名,所有授權給opensea即曾經掛過單的NFT均被轉走了!這個假冒網站是冒充最近因空投大熱的Blur,所以每當出現這種行業熱度很高的事情時就一定會冒出來幾個渾水摸魚撈一把的黑客們。

Polygon回應“過于中心化”質疑:正在計劃改進并最終刪除多重簽名:2月16日消息,Polygon聯合創始人Mihailo Bjelic針對此前Cyber Capital創始人兼 CIO Justin Bons對于“Polygon多重簽名機制過于中心化和不安全”質疑和批評,進行了回應。Mihailo Bjelic表示,多重簽名機制的確有其局限性,但本質上是為了提升新項目的安全性,來保護用戶免受黑客攻擊,現在退出這一機制是不現實的。Polygon一直將Justin Bons提到的“必須將智能合約管理密鑰轉移給 Matic 代幣持有者”的建議作為目標,但這會增加出錯時的反應時間。因此,隨著社區的成熟Polygon將逐漸放棄多重簽名,目前仍會很負責地使用這一機制。Polygon最近發布了一份多重簽名透明度報告,其中披露了相關簽名者的詳細信息以及如何改進并最終刪除多重簽名的計劃。此外,多重簽名中的其他 4 方并非由 Polygon 選擇,而是他們主動加入。[2022/2/16 9:56:00]

動態 | Paydex已經引入多方簽名技術對資產登記生態迭代升級:據悉,目前Paydex已經引入多方簽名技術對資產登記生態迭代升級,Paydex的資產登記主要進行定量登記、資產的多人轉移、DAO(去中心化組織)的社區管理,及其通過簽名權重闕值控制資產安全。[2020/2/5]

這是它被盜的那筆交易記錄,可見在一筆交易中5個NFT被轉走了。

然后我們看到這個交易的發起方form已經被標記為釣魚地址,下面的交互合約地址旁邊有一個Seaport字樣,還被打了一個綠色的對勾。

動態 | 絲綢之路創始人的赦免請愿書簽名人數接近16萬:據Bitcoin.com報道,暗網絲綢之路創始人Ross Ulbricht的赦免請愿書已獲得接近16萬人的簽名,這些人要求美國總統特朗普赦免Ross Ulbricht。除了大量的簽名之外,大約有100個知名組織和人士支持釋放Ulbricht,其中許多人代表Ulbricht發表聲明,公開反對他因創建網站而被判重刑,包括美國前助理住房部長Catherine Austin Fitts、演員Keanu Reeves、Bitcoin.com首席執行官Roger Ver、作家Lew Rockwell以及評論家Tom Woods等。卡托研究所(Cato Institute)、Downsizedc.org等組織也表示支持。 (注:截至目前,請愿書已經獲得158661個簽名。)[2019/4/18]

那可能是和這個Seaport合約進行了交互才導致被盜的?但是這個合約被打了綠標應該是健康認證過的呀,Seaport是什么呢?

動態 | 蘇黎世應用科學大學團隊和電信公司開發電子簽名 可對智能合約進行合法認證:據Cointelegraph消息,1月29日,瑞士蘇黎世應用科學大學團隊和電信公司Swisscom開發電子簽名,可對基于區塊鏈技術的智能合約進行合法認證。該電子簽名服務可用于替換瑞士法律要求的所有合同方的手寫簽名。[2019/1/30]

Seaport是opensea在今年5月20日推出的一個NFT交易協議,用于取代已經使用了4年之久的Wyvern,它的本質就是一個處理NFT交易的訂單薄智能合約,也就是你所有在opensea進行的NFT交易行為掛單、offer等全部走的這個協議,這是opensea官方的協議,怎么可能會出問題呢?

衛寧健康:未來將嘗試用區塊鏈技術解決電子簽名與電子病歷集成:衛寧健康(300253.SZ)4月27日在互動平臺表示,在電子病歷系統中,醫生和患者的簽名電子化目前是使用CA證書集成到我們的產品中,供用戶使用。未來,公司將嘗試用區塊鏈技術去解決電子簽名與電子病歷的集成。[2018/4/28]

然后我打開了被盜NFT的交易,發現其被執行了MatchOrders操作從而被轉移給了另一個地址,MatchOrders即Seaport中匹配到了訂單,看著像是你情我愿呀這不是Match到了嗎?

為了幫我的朋友破案,我壯著膽子試,打開了這個釣魚網站并連接錢包,然后出現了一個簽名,看著挺正常的人畜無害,但里面肯定有鬼我不敢點,先放在一邊。

因為Seaport是opensea的NFT交易協議,然后我朋友說他所有掛單的NFT均被盜了,并且剛才看到是執行了協議內的MatchOrder即匹配到了買家完成成交,掛單的邏輯就是我將某個NFT背后的collection執行approve方法授權給opensea,讓opensea有權限轉移我的NFT即托管,這個過程是要交gas費的,然后我再將某個NFT掛單時則是進入到opensea鏈下的訂單薄中即Seaport中,當有人對該訂單進行交易時opensea再進行鏈上資產轉移操作,那我來到opensea試著掛一個看看Seaport到底在搞什么鬼。

當我點擊listing后,臥槽出來的簽名居然和我剛才在釣魚網站遇到的一模一樣!這說明什么,大膽推演,釣魚網站執行了Seaport讓我在不知情的情況下在opensea進行了交易!

我們來看一點釣魚網站彈出的簽名中到底都有什么內容。

首先有一個itemType,它指的是本次交易的目標資產類型,1、2、3分別表示ERC20、721和1155,所以它是要盯著我的NFT啊。

然后offerer字段里面是我的地址,Seaport中若itemType為NFT類型即ERC721/1155,則offerer是賣方要把自己的NFT賣出去,若為ETH/ERC20這種“錢”的則offerer是買方來花錢買NFT的,所以這里填寫的是我的地址,太歹了這個簽名里面居然要把我的NFT轉出去!

然后我們再往下看,token字段里面有一串地址。

我把它復制粘貼到opensea打開后,歹,歹啊!居然要偷走我的熊市之光debox小企鵝!

而正如之前分析的一樣,debox也恰好就是我曾經在opensea掛單過的NFT!

再往下看,recipient字段中是一個我很陌生的地址。

我將該地址復制后在我朋友被盜的那個交易中進行檢索后,果然出現在了里面命中了!

所以是該假冒網站調用了Seaport協議讓我對opensea進行了操作從而轉移走了我的NFT,具體的機理還需要深入研究,但是Seaport作為opensea官方協議居然出現了這種問題,一定是需要負有責任的,至少應該要做到鑒權,用隨機數驗證交易來源也可以一定程度避免該問題。我不知道中招的人有多少,但是請大家一定銘記如果你在簽名時遇到了如上我截圖的Seaport字樣,以及簽名內容中包括了offerer等,請一定要謹慎!我們BuidlerDAO孵化的防釣魚安全插件www.metashield.cc也會盡快想辦法將該風險識別更新上去!請轉發讓更多人預警,也強烈要求opensea出具該問題的解決方案。

轉自Jasonchen

Tags:NFTatcETHNFT價格NFT幣atc幣是什么幣ETH錢包地址ETH挖礦app下載Etherael指什么寓意

加密貨幣
ETH:2023 年 DeFi 敘事的新變革

2023年開始火熱,Defi敘事正在變革,讓我們看看發生了什么。 流動性衍生品 盡可能多地抵押ETH是2023年的主要目標.

1900/1/1 0:00:00
USD:14個L1公鏈2023年一季度表現一覽

要點 加密市場今年第一季度的反彈并沒有伴隨著網絡使用的復蘇。盡管某些特定的L1的市場份額平均季度環比增長率為83%,但網絡使用率卻下降了大約2.5%.

1900/1/1 0:00:00
EPE:不到一個月37.5萬倍 如何抓住下一個PEPE

PEPE在短短21天內上漲375,000倍之后,改變了許多人的生活。你也可以通過Meme幣改變你的生活。本文是如何尋找Meme寶石并用它們換取瘋狂回報的完整指南.

1900/1/1 0:00:00
DAO:拋開去中心化敘事 我們需要DAO的4個理由

如果不關注去中心化的實踐載體這一身份,DAO被需要的理由是?我們分析了行業內數十篇深度文章,提出以下四個觀點.

1900/1/1 0:00:00
加密貨幣:查理·芒格發文:為什么美國應該禁止加密貨幣

近年來,在美國,私營公司發行了數以千計的大大小小的新型加密貨幣。這些后來在沒有任何政府預先批準披露的情況下公開交易.

1900/1/1 0:00:00
ETH:ETH 2.0 信標鏈即將上線,何時開啟Staking?何時開啟獎勵分發?

以太坊2.0信標鏈有可能在6周內上線,普通持幣者有什么可能的機會?10月12日,ConsenSys研究員BenEdgington在Coindesk發布的一篇文章寫道:是時候了.

1900/1/1 0:00:00
ads