一、OpenSea事件描述
近日,OpenSea首席执行官Devin Finzer在一条推文表示:"到目前为止,有32个用户签署了来自攻击者的入侵,他们的一些NFT被盗。"并暗示可能是一个欺诈性网站造成的。
"我们正在积极调查与OpenSea相关的智能合约的漏洞传闻,这似乎是源于OpenSea网站之外的钓鱼攻击。请不要点击opensea.io以外的链接。"
SharkTeam第一时间对此事件进行了攻击技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
法官裁定 Bored Ape Yacht Club NFT 侵犯 Yuga 版权:金色财经报道,加利福尼亚州法院以部分简易判决的形式在其针对 Ryder Ripps 和 Jeremy Cahen 以部分简易判决的形式,判定BAYC NFT系列背后的公司Yuga Labs法律胜利。
Ripps 和 Cahen 是 RR/BAYC NFT 系列背后的二人组,该系列以灵长类动物为特色,摆出与无聊猿相似的姿势,还使用了与 BAYC 相似的营销材料。Yuga 于 2022 年 6 月提起诉讼,指控 Ripps 及其同伙以讽刺为借口故意制造消费者混淆,产生数百万的不当利润,同时以他们的指控对 BAYC 造成的损害为荣。Yuga Labs 辩称,它应该因域名抢注获得 200,000 美元的法定赔偿。但是,法院驳回了这一要求,并宣布将在待审期间确定损害赔偿金。[2023/4/23 14:21:07]
二、OpenSea事件攻击原理分析
Web3视频平台Shibuya:下一部视频的每一个场景,将由NFT持有者决定:金色财经报道,Web3视频平台Shibuya宣布,其下一部网络视频“Dominion X”的每一个场景都将由NFT持有者决定,为期六周。
每周,NFT持有者都可以投票决定每个新场景的结局,然后制片人就会据此进行拍摄。所有这些加起来将成为一个定格动画短片,任何人都可以通过Shibuya平台观看,但只有NFT持有者才能在制作过程中投票。这些持有者还将根据他们在这一过程中的参与程度,获得不同稀有等级的NFT奖励。
对于Shibuya来说,“Dominion X”标志着自2022年3月该平台首次亮相以来的第二个IP发布,也是第一个外部开发的IP。
此前消息,Shibuya宣布完成690万美元融资,a16z Crypto和Variant联合领投,帕丽斯·希尔顿和NBA球星凯文·杜兰特等名人、阿里巴巴联合创始人蔡崇信、DeFi交易平台Aave创始人Stani Kulechov等参投。[2023/2/2 11:41:58]
攻击者账户(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74
以太坊NFT二层扩容方案Immutable X提议成为Apecoin的扩容合作伙伴:5月29日消息,以太坊NFT二层扩容方案Immutable X在Apecoin治理论坛发帖提议Immutable X成为ApeCoin DAO的Layer2扩容合作伙伴,并将在技术支持、营销、咨询、资金等方面予以支持。同时,该提案建议Yuga Labs与该项目联合创始人尽快会面,制定联合商业计划以加深Immutable X和Yuga Labs的关系。[2022/5/29 3:47:45]
攻击合约(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd
1. 创建攻击合约
交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779
NFT在线市场Zora现支持任意NFT的显示和销售:10月13日消息,NFT在线市场Zora宣布支持任意NFT的显示和销售,此前仅支持显示从Zora合约铸造的NFT。不过,其他合约上铸造的NFT将随着合约逐步同步显示。另外,Zora不会从NFT铸造、出售等活动中收取任何费用。[2021/10/13 20:25:04]
2. 发起攻击
以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad为例,
执行过程如下:
WyvernExchange合约atomicMatch函数如下:
其中,订单签名校验requireValidOrder函数如下:
函数中包含了挂单授权(签名)的校验,因此,攻击者发起攻击交易,将NFT从原来持有者账户(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 记为0xf2d2)转账到攻击者账户,需要获取到账户0xf2d2的授权(签名)。
攻击者要想获取到其他账户的签名,可以通过以下方法:
(1)获得账户的私钥
(2)签名重放攻击
(3)通过网络钓鱼等方式获取用户的私钥或者签名。
这里,攻击者明显并没有获取到账户0xf2d2的私钥,而且函数中有防止签名重放的措施:
另外,也没有从交易中发现签名重放攻击。
因此,我们分析,被攻击的用户意外签署了来自攻击者的恶意交易,攻击者获得了用户的挂单授权,然后利用该授权签名窃取了用户的NFT。综上所述,我们认为此次攻击事件是由链下的网络钓鱼攻击引起的,而不是链上合约代码漏洞造成的。
三、X2Y2安全事件
无独有偶,2022年2月18日,大V账号(DiscusFish)在Twitter上面指出,NFT交易平台X2Y2上面NFT挂单挖矿存在风险。
此外,还指出X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约,升级权限(proxyAdmin的owner)是官方单地址,理论上存在官方通过升级合约,然后转走用户NFT的可能。
X2X2团队针对可升级合约的漏洞,采用多签钱包和时间锁对合约进行了修复:
四、安全建议
OpenSea被攻击事件属于网络钓鱼攻击,而X2Y2的问题在于合约漏洞。鉴于此,我们提出以下建议:
1.项目方在开发过程中,要保证业务逻辑以及合约代码的严谨性,选择多家知名负责的审计公司进行多伦审计。
2. 项目参与者在涉足区块链项目时请提高警惕,尽可能选择更稳定、更安全,且经过完备多轮审计的公链和项目,在发起交易、签名授权时要谨慎,尽可能地只通过官方指定的网站参与投资。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。