原標題|黑客釣魚攻擊閃襲OpenSea用戶
作者|茉莉
2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。
次日,OpenSea的CEODevinFinzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。
用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。
Yuga Labs:因接收地址有其他比特幣資產而保留的剩余銘文現已發送:金色財經報道,Yuga Labs發推更新比特幣NFT系列 TwelveFold 的發送情況,表示由于接收地址擁有其他比特幣資產而保留的剩余銘文現已發送。
此前報道,Yuga Labs發推稱有21個地址不是空的,但仍堅持向這些地址發送作品;如果用戶將銘文與其他比特幣資產一起保留,可能會在正常使用比特幣的過程中意外轉移銘文聰。[2023/3/21 13:17:06]
2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。
OpenSea用戶遭「釣魚」丟失NFT
2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。
Soluna Holdings宣布進行注冊直接發售:金色財經報道,加密采礦數據中心開發商Soluna Holdings宣布已與公司的某些現有投資者簽訂證券購買協議,初始購買金額為855,000美元的普通股和購買普通股的五年認股權證,包括之前為公司可轉換票據交易提供資金的投資者。認股權證可立即行使,行使價為每股 0.76 美元,如果以現金全額行使,潛在總行使價最高可達 1,710,000 美元。公司打算將此次發行的凈收益用于數據中心的收購、開發和增長,包括加密貨幣挖掘處理器、其他計算機處理設備、數據存儲、電力基礎設施、軟件和不動產(即土地和建筑物)和業務,包括但不限于 Project Dorothy 設施,以及用于營運資金和一般公司用途。[2022/12/6 21:24:25]
2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。
分析師:Ankr攻擊者竊取Ankr Deployer密鑰,已停止在PancakeSwap上拋售aBNBc:12月2日消息,鏈上分析師Lookonchain在社交媒體分析Ankr攻擊事件,指出攻擊者竊取了Ankr Deployer密鑰并鑄造10萬億枚aBNBc發送給自己,然后通過控制密鑰將1.125 BNB轉入其地址作為gas費用并啟動aBNBc拋售,總計兌換了4,050,500枚USDC和5,000枚BNB,然后用4,500枚BNB兌換了1,293,087枚USDC并將900枚BNB存入Tornado.Cash,之后攻擊者將所有USDC跨鏈接入以太坊網絡Celer Network和Multichain,再將全部4,684,156枚USDC兌換了3,446枚ETH,目前攻擊者已停止在PancakeSwap上拋售aBNBc。由于ANKR價格大幅下跌,當前做空ANKR回報率達到53.25%。[2022/12/2 21:17:55]
從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具TornadoCash「洗幣」的操作。
Dune Analytics:Avalanche NFT市場中游戲用戶占23.8%:金色財經報道,Dune Analytics在社交媒體上表示,Avalanche NFT市場中有7.67萬用戶,其中游戲用戶占了23.8%。然而,Avalanche NFT市場中只有25個游戲類NFT集合,而非游戲類NFT集合就有1582個,游戲NFT集合僅占總數的1.6%。 盡管小于2%的收藏,但游戲NFT占33.7%美元交易量和29.5%AVAX交易量,游戲交易量:2390萬美元,非游戲交易:4710萬美元[2022/9/8 13:17:05]
黑客鏈上地址的部分動向
用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。
直到2月20日,OpenSea的CEODevinFinzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer駁斥了「價值2億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT獲得了價值170?萬美元的ETH。
區塊鏈安全審計機構PeckShield列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland的資產和NFT頭像「無聊猿」BoredApeYachtClub等。該機構還披露,黑客利用TornadoCash清洗了1100ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。
攻擊者如何拿到用戶「簽單」授權?
用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。
對此,DevinFinzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約不是攻擊的載體;使用OpenSea上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。
簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。
截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。
推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的Wyvern訂單」,因為除了攻擊者合約和調用數據之外,訂單基本上是空的,攻擊者簽署了另一半訂單。
該攻擊似乎利用了Wyvern協議的靈活性,這個協議是大多數NFT智能合約的基礎開源標準,OpenSea會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。
按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移NFT的所有權。
簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。
也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。
截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序上取消自己的NFT授權。
作者:ARKInvestment 編譯:海爾斯曼,鏈捕手 由CathieWood領導的ARKInvestment今日發布《ARK''sBigIdeas2022》.
1900/1/1 0:00:00點擊上方“藍色字”可關注我們!暴走時評:Altair升級將把信標鏈引入以太坊主網。作為自2020年12月信標鏈上線以來的第一次升級,Altair升級已經有了一個成功的開始.
1900/1/1 0:00:00作者:0xEliven/ForesightVenturesPak作為闖入加密世界的先鋒藝術家,在過去兩年內創造了一項項傳奇,逐步走上加密藝術的神壇.
1900/1/1 0:00:00去中心化計算網絡CUDOS與游戲公司GOATi達成戰略合作,服務后者的全球游戲粉絲。雙方的合作將為游戲玩家帶來更多的游戲、獎勵以及更豐富的體驗,而這一合作也得到了芯片制造商AMD的支持.
1900/1/1 0:00:00文|湯圓 最近,DeFi應用進入了一場流動性爭奪戰,穩定幣協議Curve是主戰場之一,各穩定幣協議企圖爭奪VeCRV的控制權,以獲取更多CRV通脹獎勵權重,吸引更多的穩定幣資金進入各自的資產池.
1900/1/1 0:00:00原標題|Arbitrum生態漸露鋒芒 文|湯圓 2月10日,據L2BEAT數據顯示,以太坊Layer2板塊的加密資產鎖倉總額為62.9億美元,7日內漲幅11%.
1900/1/1 0:00:00