NFT:OpenSea遭遇钓鱼攻击,波及资产超170万美元_SEA

作者:Corn

出品:鸵鸟区块链

昨晚,有报道称NFT收集者一直在从钱包中丢失NFT和以太坊,OpenSea疑似遭到网络钓鱼攻击瞬间成为大众密切关注的话题。

OpenSea首席执行官DevinFinzer及时对涉嫌网络钓鱼作出回应,本次网络钓鱼攻击波及的资产总额达640ETH,相关NFT已经在被标记为“Fake_Phishing5169”的钱包之中。

据链上数据显示,该恶意钱包于去年12月进行了第一笔交易,但网络钓鱼攻击在昨天才开始。此外,该钱包还一直在与另一个被标记为OpenSea网络钓鱼的钱包进行交互。

Elon Musk:xAI将与微软、谷歌、OpenAI竞争;将使用公共数据进行AI模型训练:金色财经报道,Elon Musk表示,他的新公司肯定会与OpenAI竞争,在AGI领域提供比微软、谷歌、OpenAI产品更有竞争力的替代方案。xAI仍处于萌芽阶段(embryonic),要赶上OpenAI和谷歌还需要时间。同时,在AI模型训练方面,他们会使用公共数据而非私人数据。

xAI计划构建一个超级智能人工智能,帮助解决复杂的科学和数学问题,并“理解”宇宙。OpenAI最初的目标是开源和非营利,但因为“命运喜欢讽刺”,OpenAI是闭源的,“对利润很贪婪”。就AI算力方面,他们同样需要算力支持,但或许会略少于其他公司。[2023/7/17 10:58:55]

在过去的24小时内,大量来自底价高的收藏的NFT被转移,例如BoredApeYachtClubNFT、CoolCats、Doodles和AzukiNFT。Fake_Phishing5169地址还通过竞争对手NFT市场Rarible和LooksRare进行了交易。

OpenDAO旗下BRC-20 DAO推出的Majo NFT地板价升至0.059 BTC,并将向Majo Token持有者空投:5 月 26 日消息,OpenDAO 旗下 BRC-20 DAO 推出的 Majo NFT 已从铸造价格 0.001 BTC 上涨至 0.059 BTC,目前涨幅达到 59 倍。据悉,Majo NFT 持有者可以获得 BRC-20 DAO launchpad 白名单及更多生态项目空投。Majo NFT 总量 1000 枚,剩余 900 枚将空投给 Brc-20 Token Majo 持有者。[2023/5/26 9:43:53]

对于此次事件,OpenSea表示正在进行积极调查。最新消息称,OpenSea官方发推表示,目前这次网络钓鱼攻击还没有调查出确定确切的来源,但想有一些EOD更新:已将受影响的个人名单缩小到17人,而不是之前提到的32人。最初的计数包括与攻击者有过“交互”的任何人,而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃,超过15小时没有恶意合约活动。

OpenSea:不会托管用户NFT,因其限制用户并损害安全性:7月28日消息,OpenSea表示,近看到很多关于Solana市场托管NFT的讨论。对此,OpenSea认为,市场不应要求拥有用户NFT的所有权才能将其挂单出售。这种做法在Solana NFT中更为常见。虽然一些市场要求卖家托管他们挂单的NFT,但OpenSea没有这样做。托管用户NFT的市场限制了选择和实用性,并损害了安全性。当用户必须将NFT托管给市场时,用户被迫放弃所有权。NFT离开用户的钱包,即在用户的物品售出之前,用户无法再从所有权中受益。这种做法也限制了用户的安全选择,NFT离开用户钱包,由市场的智能合约持有。因此,用户失去了选择如何或在何处保护NFT的能力。甚至如果市场出现问题,用户将再无法访问其NFT。OpenSea最后表示,因此在其开发Solana NFT市场时,不会托管用户NFT。[2022/7/28 2:42:12]

不过DevinFinzer在事情刚发生时就推特上表示,该漏洞可能根本没有袭击OpenSea,到目前为止,似乎有32位用户签署了来自攻击者的恶意有效载荷,并且他们的一些NFT被盗。

简单来说,DevinFinzer猜测人们可能收到了伪造成官方的电子邮件,诱导他们将NFT转移到其他人的钱包中。

此外,DevinFinzer还表示,推特用户Neso的帖子与他对所发生事情的理解一致。

Neso发推解释了技术方面的可能性,Neso表示,丢失资产的人可能签署了一半有效的wyvern订单,攻击者签署了另一半订单。wyvern合约非常灵活,OpenSea会在其前端/api上验证订单,以确保用户签署的内容将按预期运行,但同样的合约仍然可以被其他人使用,如果人们签署这样更复杂的订单,攻击者就可以拿走得到正式认可的所有东西。

这次攻击恰逢新智能合约Wyvern2.3的发布,OpenSea当时要求用户迁移他们的列表,不少猜测表示或许与此有关。不过OpenSea的攻击来源依旧没有得到确切的消息,这些猜测也只是猜测,关于后续的故事,仍需继续等待OpenSea的调查结果。

有趣的是,此次事件中攻击者的交易操作着实让很多人摸不着头脑。

比如为什么网络钓鱼者在拿走他的一些资产后选择归还部分资产?

再比如,为什么归还部分资产之后向naterivers.eth发送了50个以太坊?

......

是良心发现还是耀武扬威?恐怕这些谜之操作,也只有攻击者自己知道。

最后,为了防止NFT和以太币的丢失,最好通过Etherscan的代币批准功能撤销访问权限,最好将资产转移到硬件钱包中。

Etherscan的代币批准功能链接如下:

https://etherscan.io/tokenapprovalchecker

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-3:316ms