关键事实:
贷款可能是矿工持有资产的一个重要因素。
至少有 81.5 万比特币在矿工的控制之下。
上周末,数十名 OpenSea 用户受到平台上不可替代令牌 (NFT) 的大规模盗窃的威胁。 身份仍然未知的攻击者访问了数千封电子邮件,并向他们发送了一个冒充市场的恶意链接,让他们签署一份智能合约,将他们的资产转移给他。
正如 CriptoNoticias 在 2 月 20 日星期日报道的那样,小偷已经卖掉了一些被盗的代币,因此设法获得了 170 万美元的总和。 据 Opensea 称,尽管有 32 人与虚假智能合约进行了交互,但到目前为止,其中只有 17 人遭受了代币丢失。
该市场的联合创始人之一德文·芬泽 (Devin Finzer) 保证这次攻击与他的网站无关,而是由于网络钓鱼事件。 这种类型的黑客攻击包括发送一个恶意链接,该链接“诱骗”用户将其加密货币放置在虚假平台上或向诈骗者授予权限。 后者发生在本案中。
除了最初几个小时计算的一般全景之外,随着时间的推移,关于这一集的更多细节被人们所知。 为了更清楚地说明问题,Finzer 本人分享了 OpenSea 首席技术官 Nadav Hollander 发布的 Twitter 帖子。
有关 OpenSea 盗窃的详细信息
NFT 市场技术负责人 Hollander 原则上解释说,所有恶意订单都是由受影响的用户签署的。 他认为,这证明他们授予了在某个地点和时间访问其收藏的权限。
Opensea 的首席技术官在他的推特账户上解释了 NFT 盗窃是如何在平台上发生的。 资料来源:@nadavahollander/推特
这个版本得到了用户@nesotual 的确认,他的分析也被 Devin Finzer 分享为“与 OpenSea 认为可能发生的事情一致”。 根据 Neso 的观察,任何说自己没有遭受网络钓鱼攻击的人“都大错特错”,因为所有交易都有受害者的有效签名。
然而,霍兰德详细说明,这些订单在签署后并未发送到 OpenSea。 同样,也没有通过 2 月 18 日星期五正式推出的新平台合约 Wyvern 2.3 执行。 因此,霍兰德说,可以肯定订单是在迁移到新合约之前签署的,而且这一事实不太可能与迁移流程有关。
根据专家的观点,这次攻击是针对一组选定的用户,而不是系统性的。 霍兰德说,有 32 人受到欺诈行为的影响,这一事实“非常不幸”。 根据 OpenSea 在其 Twitter 帐户上的说法,这个数字后来减少到 17 名受害者。
据 Opensea 报道,这份欺诈性合约已经闲置了几个小时。 资料来源:@opensea/推特
然而,目前尚不清楚攻击者如何访问 OpenSea 用户的邮件列表。 原则上,邮件将被发送到数千个地址,尽管没有报告具体数字。
链下签名,需要注意的地方
为了让用户更容易管理链下签名,市场最近实施了 EIP-712,这是对以太坊的改进,旨在在用户验证签名之前以更易读的方式显示签名。 专家说,这可以防止像上周末发生的攻击那样,因为它更容易检测到任何违规行为。
最后,OpenSea 首席技术官保证,链下消息的签名需要与不共享钱包种子短语的重要性相同的教育努力。 社区应该在这方面朝着标准迈进,例如使用前面提到的 EIP-712 或 EIP-4361,它允许基于以太坊的链下平台登录。
与此同时,尽管他保证攻击并非来自 OpenSea 内部,但霍兰德证实该公司正在尽一切可能帮助受影响的用户。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
