今晨,关于OpenSea疑似出现bug一事引发了大量关注与热议。
事件起因为,多位用户今晨于推特发布警告称,OpenSea昨日推出的新迁移合约疑似出现bug,攻击者正利用该bug窃取大量NFT并卖出套利。
央行行长易纲:根据试点情况有针对性地完善数字人民币的设计和使用:11月9日消息,中国央行行长易纲表示,下一步,我们将根据试点情况,有针对性地完善数字人民币的设计和使用。一是参考现金和银行账户管理思路,建立适合数字人民币的管理模式;二是继续提升结算效率、隐私保护、防伪等功能;三是推动数字人民币与现有电子支付工具间的交互,实现安全与便捷的统一;四是完善数字人民币生态体系建设,提升数字人民币普惠性和可得性。[2021/11/9 6:41:53]
从攻击者钱包的截图来看,当前失窃NFT涵盖BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多种高价值系列,其中部分已以地板价卖出,但也有一部分已原路转回失窃地址。所谓迁移合约,来自于OpenSea昨日发布的一项新升级。昨日,OpenSea宣布其智能合约升级已完成,新的智能合约已经上线,用户迁移智能合约需签署挂单迁移请求,签署此请求不需要Gas费,无需重新进行NFT审批或初始化钱包。在迁移期间,旧智能合约上的报价将失效。英式拍卖将于合约升级完成后暂时禁用几个小时,新合约生效后,可以再次创建新的定时拍卖。现有智能合约的荷兰式拍卖将于北京时间2月26日3时在迁移期结束时到期。事件发生后,OpenSea于官方推特回应称:“我们正在积极调查与OpenSea智能合同有关的传闻。这看起来像是来自OpenSea网站外部的网络钓鱼攻击。不要点击http://opensea.io之外的任何链接。”Alchemix、Sushiswap贡献者,推特用户@0xfoobar在事件发生后也于推特发布了关于此事的个人调查。@0xfoobar称,黑客系使用30天前部署的辅助程序合约来调用4年前部署的OpenSea合约,该辅助合约同样具有有效的atomicmatch()数据,这可能是起于几个星期前的一场钓鱼攻击,黑客正赶着在所有挂单过期之前进行攻击。
Kava:Kava 9升级之一将包括针对更高交易费用的优先级内存池:11月13日消息,Kava在推特上表示,Kava 9的高质量升级之一将包括针对更高交易费用的优先级内存池。在高网络拥塞期间,交易内存池的构建速度比验证器处理交易的速度要快。为了解决这个问题,优先级的内存池将按照支付费用对要处理的交易进行排序。这将防止零费用垃圾交易攻击,并允许有关键交易需求用户,通过支付稍高费用优先处理其交易。为用户提供工具,以更有效地管理其CDPs或在市场波动时借入头寸。[2021/11/13 21:48:43]
针对平台宕机致用户资产遭清算 BitMEX已向156个用户退款共计约40.3枚BTC:针对此前BitMEX宕机导致部分用户资产被清算,BitMEX团队发文称,总共确定了156个受影响的账户。BitMEX进行相应计算并向用户退款,共退款40.297 BTC。此前消息,3月13日10:16和10:40之间以及20:56左右,BitMEX遭遇两次DDoS攻击。(Bitcoinist)[2020/3/17]
@0xfoobar进一步分析称,此事与OpenSea新迁移合约唯一的关系是,由于OpenSea智能合约升级后所有的历史挂单都将在6天内到期,这其中也包含了所有来自已被钓鱼攻破的地址的挂单,所以黑客不得不立即采取行动。换句话说,这是一场钓鱼攻击,而非一场通用智能合约漏洞,OpenSea的合约并没有出现问题。
声音 | 安全研究员:针对币圈用户的6点安全建议:针对币安遭黑客攻击损失大量BTC事件 ,RatingToken安全研究员为币圈用户提供6点安全建议,以尽量规避类似风险:1.在登录银行、交易所、钱包等重要网站时,一律使用带https开头的安全链接;2.手机、电脑等联网设备不随意使用第三方不明Wifi;3.必须安装防护杀软件,拒绝“裸奔”;4.网页、APP出现异常情况时,及时确认和终止重大操作;5、不打开来路不明的插件、邮件、链接;6.大额资产尽量转到冷钱包。[2019/5/8]
@0xfoobar的分析与其他一些大V不谋而合,gmDAO创始人Cyphr.ETH发推称,黑客使用了标准网络钓鱼电子邮件复制了几天前发出的正版OpenSea电子邮件,然后让一些用户使用WyvernExchange签署权限。OpenSea未出现漏洞,只是人们没有像往常一样阅读签名权限。
至此,本次安全事件的原因已基本清晰,受影响群体为曾点击过上述邮件并签署了权限的用户,出于安全起见,建议这些用户暂时撤销OpenSea的所有授权。可用的合约授权签署工具包括https://revoke.cash/或https://zapper.fi/revoke或https://etherscan.io/tokenapprovalchecker或https://approved.zone/或https://tac.dappstar.io/#/,部分网站可能因当前访问量过大无法打开,可以多试试。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。