NFT 市场 OpenSea 因其智能合约相关的“漏洞利用谣言”而发起调查。 该公司表示,这是一次网络钓鱼攻击——在平台方面没有发现任何问题。
我们正在积极调查与 OpenSea 相关的智能合约相关的漏洞利用的传闻。 这似乎是源自 OpenSea 网站之外的网络钓鱼攻击。 不要点击 https://t.co/3qvMZjxmDB 之外的链接。
— OpenSea (@opensea) 2022 年 2 月 20 日
“我们正在积极调查与 OpenSea 智能合约相关的漏洞利用的传闻。 这似乎是来自第三方资源的网络钓鱼攻击。 不要点击 opensea.io 之外的链接,”声明说。
2 月 18 日星期五,OpenSea 智能合约重启。 该计划旨在删除平台上出售 NFT 的旧报价,并关闭一个漏洞,该漏洞允许以几个月前的价格购买一些代币,即使它们没有显示在市场界面中。
2 月 19 日,网络上出现了有关平台上不可替代的用户代币被盗的报道。 有传言称黑客攻击了 2 亿美元,但 OpenSea 联合创始人 Devin Finzer 否认了这一消息。 据他介绍,攻击者的地址包含 170 万美元的 ETH,这是他通过出售部分被盗 NFT 获得的。
重要的是,有关这是一次价值 2 亿美元的黑客攻击的传言是错误的。 攻击者通过出售一些被盗的 NFT 在他的钱包中拥有 170 万美元的 ETH。
— Devin Finzer (dfinzer.eth) (@dfinzer) 2022 年 2 月 20 日
据 Finzer 称,该事件影响了至少 32 名用户。 PeckShield 分析师公布了一份被盗 NFT 的清单,该文件有 253 个位置。 这些资产包括收藏代币 Bored Ape Yacht Club、Azuki、CloneX、Mutant Ape Yacht Club 等。
这是在@opensea 网络钓鱼事件中被盗的 NFT 列表 https://t.co/s9OmiJu2m3 pic.twitter.com/xE1tFJnDMK
— PeckShieldAlert (@PeckShieldAlert) 2022 年 2 月 20 日
OpenSea 的调查还没有结束,但该公司已经得出了一些结论。 根据 Finzer 的说法,项目团队“确信”代币在平台外网络钓鱼攻击中被盗。
该市场的联合创始人强调,该公司已排除以下攻击媒介:
- 入侵 OpenSea 邮件服务器;
- 平台网站的入侵,包括购买、销售或上架产品的工具;
- 新 Wyvern 2.3 智能合约的妥协;
- 将代币迁移到新合约的工具的妥协。
Finzer 解释说攻击者已经停止了攻击。 他承诺随着调查的进展与用户分享有关该事件的信息。
虽然攻击者在 4 小时前停止了攻击,但我们的调查仍在进行中。 随着我们了解有关网络钓鱼攻击的确切性质的更多信息,我们会及时通知你。 如果你有可能有用的具体信息,请 DM @opensea_support。
— Devin Finzer (dfinzer.eth) (@dfinzer) 2022 年 2 月 20 日
PeckShield 还报告说,令牌在网络钓鱼攻击中被盗。 据专家称,用户收到了关于 NFT 迁移到新智能合约的虚假消息。 在签署交易(电子邮件中包含的链接)后,资产被盗。
尽管未经证实,@opensea被黑 很可能是网络钓鱼。 用户按照网络钓鱼电子邮件中的指示授权“迁移”,不幸的是,授权允许黑客窃取有价值的 NFT……pic.twitter.com/Fj5d9ImC2r
— Peck Shield Inc. (@peckshield)2022 年 2 月 20 日
“留给 OpenSea 的唯一问题是:是否存在允许网络钓鱼的用户信息(例如电子邮件地址)泄露?”PeckShield 补充道。
EthHub 联合创始人和 EIP-1559 合著者 Eric Conner 表示,对市场的攻击可能如下所示:
- 四周前,攻击者准备了网络钓鱼攻击或智能合约;
- 从那时起,他诱骗受害者签署有效的搜查令和许可;
- 黑客没有使用它们,因为他相信攻击会很快被注意到;
- 迁移到一份新合约促使他完成了这个骗局。
因此,那些被利用的人在 opensea 上进行了合法的批准,但他们给出的签名签署了黑客执行恶意订单的访问权限。
– 埃里克⌐◨-◨(@econoar)2022 年 2 月 20 日
昵称 0xfoobar 的开发人员警告说,一个“恶意签名”就足以让用户失去平台上的所有 NFT。
单个恶意签名可以覆盖*所有*你已批准的 OpenSea NFT。 无需像最初假设的那样为每个订单签署单独的卖单。
这就是今天的黑客如何在一次交易中窃取 10 个 Azukis、8 个 mfers 和 3 个变种猿,一个 sig。 pic.twitter.com/kJQgidthFM
— foobar (@0xfoobar) 2022 年 2 月 20 日
他认为,网络钓鱼攻击是在几周前进行的,犯罪分子决定在旧房源到期前完成。 0xfoobar 解释说所有被盗代币都放在了第一版合约上
开发人员建议用户撤销 OpenSea 授予的任何权限。 他强调,平台代码不包含漏洞。
回想一下,2022 年 2 月,币安加密货币交易所的负责人就大规模网络钓鱼邮件向客户发出警告。
在 Telegram 上订阅 ForkLog 新闻: ForkLog Feed – 整个新闻提要,ForkLog – 最重要的新闻、信息K线走势图和意见。
在文本中发现错误? 选择它并按 CTRL+ENTER
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
