作者:OpenSeaCTONadavHollander
2月21日,OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉,这次攻击导致了大约300万美元资产被盗,包括无聊猿,Azuki和CloneX等知名NFT系列。
本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要,包括提供一些web3方面的技术教育。
OpenAI首席执行官表态支持欧盟AI监管:金色财经报道,欧盟产业主管埃里·布雷顿(Thierry Breton)在美国加州会见Meta公司首席执行官扎克伯格、英伟达首席执行官黄仁勋和OpenAI首席执行官奥特曼等。
布雷顿表示,他和扎克伯格在欧盟的人工智能监管问题上“意见一致”,目前正在进行最后的谈判。布雷顿说,他们就水印等措施达成了一致。OpenAI首席执行官奥特曼说,他也同意欧盟在人工智能方面的做法,并补充说:“我真的很感谢欧洲的机构在这里,以及对这个问题如此认真对待的远见,对世界其他地区也是如此。”
另外,布雷顿与英伟达公司首席执行官黄仁勋讨论了人工智能。黄仁勋在会上表示,英伟达极有可能在欧洲投资。[2023/6/25 21:58:04]
在审查了这次攻击中的恶意订单之后,可以看出以下一些数据点:
OpenSea发布钱包功能更新:简化ETH封装/解封:4月8日消息,NFT市场OpenSea在社交媒体宣布推出钱包功能等一系列更新,旨在改善平台用户体验,包括:钱包升级进一步简化ETH封装/解封、支持实时余额刷新、收藏订单模式更新、新增NFT报价深度选项、报价选项新增NFT特征过滤器。新功能升级后服务将更加简单,应用内区块链切换后的网络导航也将更容易,同时用户可以准确了解自己的交易金额并实时查看到最新的地板价和最高出价。[2023/4/8 13:51:29]
所有恶意订单都包含来自受影响用户的有效签名,表明这些用户确实在某个时间点某处签署了这些订单。但是,在签署之后时,这些订单都没有广播到OpenSea。
Dora Factory二次方投票Milestone-1通过Web3 Foundation Open Grant:4月6日消息,Web3 Foundation Open Grant已经接受并合并Dora Factory二次方投票治理模块 Milestone-1代码(pull request #104)。此模块在Substrate上实现了二次方投票和二次方募资的功能。目前,这个测试模块已经被部署在Dora Factory的一个独立的Substrate单节点测试网络中,并完成单元测试。[2021/4/6 19:50:51]
没有恶意订单针对新的合约执行,表明所有这些订单都是在OpenSea最新的合约迁移之前签署的,因此不太可能与OpenSea的迁移流程相关。
32名用户的NFT在相对较短的时间内被盗。这是非常不幸的,但这也表明了这是一场有针对性的攻击,而不是OpenSea存在系统性问题。
这些信息,再加上我们与受影响用户的讨论和安全专家的调查,表明由于意识到这些恶意订单即将失效,因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。
在这场网络钓鱼之前,我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。
例如,如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组,您会看到一个引用Wyvern的类型化数据有效负载,如果发生一些不寻常的事情,则会向你发出提醒。
“不要共享助记词或提交未知交易”,这种教育在我们的领域已经变得更加普遍。但是,签署链下消息同样需要同等的思虑。
作为一个社区,我们必须转向使用EIP-712类型数据或其他商定标准)来标准化链下签名。
在这一点上,您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的,但这种更改实际上使订单签署更加安全,因为你可以更好地看到你签的是什么。
此外,强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。
尽管攻击似乎是从OpenSea外部发起的,但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。