2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。
次日,OpenSea的CEODevinFinzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。
用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。
2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。
Sturdy Finance某筆交易被黑客攻擊,損失約70萬美元:6月12日消息,據 Web3 網絡安全公司 Ancilia 監測,無息借貸協議 Sturdy Finance 以 0xeb87 開頭交易被黑客攻擊,損失約 70 萬美元(442 枚 ETH)。[2023/6/12 21:30:49]
OpenSea用戶遭「釣魚」丟失NFT
2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。
2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。
DeRace因DAO Maker分發系統被攻擊導致部分代幣被黑客盜取并拋售:9月4日消息,NFT 賽馬項目 DeRace (DERC)發推稱,在 DAO Maker 中進行持有者發行(SHO)時因 DAO Maker 合約被攻擊,即 SHO 參與者的分發系統中出現了一個漏洞,導致 DAO Maker 應分配給買家的這部分代幣被一黑客拿走并分兩次全部拋售,被利用的合約是 DAO Maker 針對 DAO 公共買家在未來解鎖領取代幣的合約。DeRace 表示,DeRace 代幣 DERC 和合約沒有受到影響,DERC 也沒有進行額外的鑄造,目前正在進行回購,DAO Maker 將為其社區制定補償計劃。[2021/9/4 22:59:46]
從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具TornadoCash「洗幣」的操作。
聲音 | 趙長鵬:本月初的黑客攻擊事件讓我們因禍得福:幣安CEO趙長鵬今日發文表示,本月初幣安的黑客攻擊事件,讓團隊因禍得福。從長遠來看,這一事件對幣安來說可能是一件好事。追求安全永無止境。在安全方面總是有更多的事情要做,幣安在上周已經實施了很多措施,并將在未來持續增加更多安全措施。鑒于此事,幣安實際上變得比以前更加安全,不僅是在本次受影響的方面,而是就交易平臺整體而言。他總結道:“在危機期間,我們始終與社區保持持續溝通和高度透明。我們認為這是一個強有力的因素,有助于我們從社區獲得支持。 一個明顯的衡量標準是BNB的價格:它在安全事件發生初期略有下降,但是下降幅度并不像人們預期的那么大,甚至在我們恢復提現之前,它已經強勢回歸并再次創下美元歷史新高價。”[2019/5/20]
EOS全球黑客馬拉松系列競賽今日開始:據cryptovest報道,Block.one今年在5個不同國家開展黑客馬拉松競賽,通過比賽形式鼓勵黑客和開發者在EOSIO區塊鏈上開發去中心化應用(DApp)。今天在香港舉行了一場由5支隊伍參加的EOS黑客馬拉松競賽。[2018/6/9]
黑客鏈上地址的部分動向
用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。
直到2月20日,OpenSea的CEODevinFinzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer駁斥了「價值2億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT獲得了價值170?萬美元的ETH。
區塊鏈安全審計機構PeckShield列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland的資產和NFT頭像「無聊猿」BoredApeYachtClub等。該機構還披露,黑客利用TornadoCash清洗了1100ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。
攻擊者如何拿到用戶「簽單」授權?
用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。
對此,DevinFinzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約不是攻擊的載體;使用OpenSea上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。
簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。
截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。
推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的Wyvern訂單」,因為除了攻擊者合約和調用數據之外,訂單基本上是空的,攻擊者簽署了另一半訂單。
該攻擊似乎利用了Wyvern協議的靈活性,這個協議是大多數NFT智能合約的基礎開源標準,OpenSea會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。
按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移NFT的所有權。
簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。
也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。
截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序上取消自己的NFT授權。
Tags:NFTOpenSeaOPENSEASwiss NFT FundBOpenSeaOPEN幣Seadog Metaverse
近日驚爆加密貨幣圈的大新聞就是美國司法部成功追蹤并逮捕了2016年盜取bitfinex近12萬枚比特幣的黑客HeatherMorgan和IIyaLichtenstein.
1900/1/1 0:00:00我不會去評論美聯儲在兩年前的經濟恐慌中做出的決定。但是,他們今天的所作所為顯然是一個錯誤。他們仍在積極地夸大債券、股票、房地產等領域的泡沫,這將需要大規模的政策掉頭來阻止它.
1900/1/1 0:00:00隨著區塊鏈數字藏品技術的不斷發展與場景的持續創新,以此為基礎的數字經濟呈現愈加繁榮的態勢,越來越多的主體參與到數字藏品發展浪潮中,并提出自己的解決方案.
1900/1/1 0:00:00頭條 ▌由國際奧委會官方授權發行的冰墩墩NFT兩日已上漲近千倍2月14日消息,據中國基金報,由國際奧委會官方授權發行的冰墩墩NFT(Non-FungibleToken非同質化代幣)數字藏品這兩日.
1900/1/1 0:00:001.從數百萬SEC文件看美國對加密貨幣的接受隨著越來越多的機構和加密公司從公開市場獲得債務和股權融資,提及加密的文件數量正在增加.
1900/1/1 0:00:00美國財政部近期發布《通過藝術品交易開展洗錢和恐怖融資的研究》報告,將NFT歸類于新興在線藝術品市場,并指出該市場可能會帶來新的風險.
1900/1/1 0:00:00