NFT安全问题再受瞩目
昨晚,有报道称NFT收集者一直在从钱包中丢失NFT和以太坊,OpenSea疑似遭到网络钓鱼攻击瞬间成为大众密切关注的话题。
OpenSea首席执行官DevinFinzer及时对涉嫌网络钓鱼作出回应,本次网络钓鱼攻击波及的资产总额达640ETH,相关NFT已经在被标记为“Fake_Phishing5169”的钱包之中。
据链上数据显示,该恶意钱包于去年12月进行了第一笔交易,但网络钓鱼攻击在昨天才开始。此外,该钱包还一直在与另一个被标记为OpenSea网络钓鱼的钱包进行交互。
OpenSea:已排除合约迁移工具是攻击载体的可能性,OpenSea.io签名安全:2月22日消息,OpenSea官推就此前钓鱼网络攻击事件再次做出回应,OpenSea官方指出,目前攻击似乎不再活跃,但仍在继续对其进行监控,攻击者钱包超过36个小时没有活动,OpenSea会继续调查。此外,OpenSea已经排除了合约迁移工具是攻击载体的可能性,迁移工作是安全的。虽然市场上有对包含Wyvern协议徽标的新OpenSea签名信息有所担忧,但OpenSea明确表示,只要通过opensea.io进行签名就是安全的。此外,OpenSea还透露OpenSea Support推特账户的私信功能将会在明日关闭,如果需要额外支持可以前往官网帮助中心。[2022/2/22 10:07:47]
在过去的24小时内,大量来自底价高的收藏的NFT被转移,例如BoredApeYachtClubNFT、CoolCats、Doodles和AzukiNFT。Fake_Phishing5169地址还通过竞争对手NFT市场Rarible和LooksRare进行了交易。
NFT市场OpenSea总交易量达到100亿美元:金色财经报道,加密市场最大的NFT市场OpenSea的交易量首次超过100亿美元。作为第一个在以太坊区块链上建立的NFT市场,OpenSea的交易量在过去一年中随着NFT的繁荣而激增。此前在8月份,该平台的总交易量仅为10亿美元。与其他主要平台相比,OpenSea在交易量上遥遥领先。基于以太坊的平台Rarible和SuperRare.co的总交易量分别仅为2.6397亿美元和1.7795亿美元。按交易量排名第二的平台是加密游戏Axie Infinity,总交易量达30亿美元。[2021/11/9 6:40:20]
对于此次事件,OpenSea表示正在进行积极调查。最新消息称,OpenSea官方发推表示,目前这次网络钓鱼攻击还没有调查出确定确切的来源,但想有一些EOD更新:已将受影响的个人名单缩小到17人,而不是之前提到的32人。最初的计数包括与攻击者有过“交互”的任何人,而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃,超过15小时没有恶意合约活动。
8月份有71050个OpenSea账户至少完成一笔交易:金色财经报道,Beanie Capital分析师Jesse发推文称,Beanie Capital正在对NFT市场活动进行一些研究。从OpenSea平台获取的一些数据显示,8月份,有100142个活跃卖家账户和189141个活跃买家账户,有71050个账户至少完成一笔买卖交易。[2021/9/23 16:59:05]
不过DevinFinzer在事情刚发生时就推特上表示,该漏洞可能根本没有袭击OpenSea,到目前为止,似乎有32位用户签署了来自攻击者的恶意有效载荷,并且他们的一些NFT被盗。
石油输出国组织OPEC将探索区块链等新技术:8月31日消息,石油输出国组织欧佩克(OPEC)近日表示,将以电视会议的形式于9月21日主办第二届能源和信息技术(IT)研讨会。会议目的主要是探索蓝氢的未来,能源领域的数字化以及网络安全和区块链技术。该组织秘书长穆罕默德·巴金多(Mohammad Barkindo)称,石油和天然气部门一直热衷于部署最新技术以提高生产率。“能源行业,尤其??是石油行业,一直渴望利用和开发最新的尖端技术,以提高其运营效率和有效性”(thenationonlineng)[2020/8/31]
简单来说,DevinFinzer猜测人们可能收到了伪造成官方的电子邮件,诱导他们将NFT转移到其他人的钱包中。
此外,DevinFinzer还表示,推特用户Neso的帖子与他对所发生事情的理解一致。
Neso发推解释了技术方面的可能性,Neso表示,丢失资产的人可能签署了一半有效的wyvern订单,攻击者签署了另一半订单。wyvern合约非常灵活,OpenSea会在其前端/api上验证订单,以确保用户签署的内容将按预期运行,但同样的合约仍然可以被其他人使用,如果人们签署这样更复杂的订单,攻击者就可以拿走得到正式认可的所有东西。
这次攻击恰逢新智能合约Wyvern2.3的发布,OpenSea当时要求用户迁移他们的列表,不少猜测表示或许与此有关。不过OpenSea的攻击来源依旧没有得到确切的消息,这些猜测也只是猜测,关于后续的故事,仍需继续等待OpenSea的调查结果。
有趣的是,此次事件中攻击者的交易操作着实让很多人摸不着头脑。
比如为什么网络钓鱼者在拿走他的一些资产后选择归还部分资产?
再比如,为什么归还部分资产之后向naterivers.eth发送了50个以太坊?
......
是良心发现还是耀武扬威?恐怕这些谜之操作,也只有攻击者自己知道。
最后,为了防止NFT和以太币的丢失,最好通过Etherscan的代币批准功能撤销访问权限,最好将资产转移到硬件钱包中。
Etherscan的代币批准功能链接如下:
https://etherscan.io/tokenapprovalchecker
作者:Corn
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。