2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。
次日,OpenSea的CEO Devin Finzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。
用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。
2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。
Klaytn公布BUIDL the Future黑客松Klaytn賽道獲獎項目:3月2日消息,韓國區塊鏈平臺Klaytn發文介紹Coinbase Cloud主辦的BUIDL the Future黑客松Klaytn賽道的獲獎項目者,分別為:冠軍項目Web3眾籌平臺Wanna、第一名NFT游戲化平臺 Encryp、第二名NFT資產管理平臺 GameFolio。[2023/3/2 12:38:36]
2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。
2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。
一月鏈上漏洞利用等黑客攻擊總計11起,損失約1460萬美元:金色財經報道,據Dapprader數據顯示,2023年1月漏洞利用等區塊鏈攻擊事件減少到了11起,造成總損失1460萬美元。漏洞利用攻擊大多發生在BNB Chain上,記錄在案的黑客事件有四起,其中最大的漏洞利用攻擊發生在Heco網絡上的LendHub借貸協議上,造成約600萬美元的損失,該漏洞存在于lBSV合約復制中,允許攻擊者將資金存入舊版本并從新市場借款,通過利用鑄幣和贖回流程將被盜資產轉移到以太坊和Optimism等其他區塊鏈。
第二大漏洞利用攻擊是Arbitrum網絡上的GMX協議,造成280萬美元的損失。與往年相比, 2023 年1月因黑客鏈上攻擊造成的損失金額相對較低,也標志著區塊鏈安全正在逐漸向好。[2023/2/6 11:49:35]
從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具Tornado Cash「洗幣」的操作。
以太坊天價手續費轉賬或是黑客發起的GasPrice勒索攻擊:對于“以太坊天價手續費轉賬”一事,PeckShield 分析認為,這可能是黑客向交易所發起的 GasPrice 勒索攻擊,具體原因如下:1)某主體為交易所的地址被黑客以釣魚等方式實施了攻擊,其部分權限被黑客捕獲,比如:服務器管理權限等;2)由于該交易所私鑰存在多簽驗證等可能性,因此黑客盡管掌握了服務器賬戶權限,卻無法完全控制私鑰將巨額資產轉給自己。3)但黑客卻發現其已有權限可以向該地址授權的白名單轉賬,于是黑客才有可能在權限不齊的情況下,實現兩次轉賬;4)不僅如此,黑客還發現其可以控制 GasPrice 權限,所以其拿不走這筆資產卻可以想辦法將其揮霍完;5)于是黑客發出兩次異常轉賬,向該交易所發起了勒索。潛臺詞是如若交易所不通過其他方式給予黑客一定的贖金,黑客將會進一步把錢揮霍完(目前該地址還剩 2.1 萬個 ETH);6)由于該交易所的服務器權限被控制,使得其無法正常使用私鑰權限,故而眼睜睜看著賬戶錢被動了,卻沒辦法將剩余的錢轉出及時止損。[2020/6/12]
動態 | 曾向蘋果公司進行加密貨幣勒索的黑客認罪,被判兩年監禁:早在2017年3月,The Hacker News和許多其他新聞媒體報道了一名黑客威脅要遠程清除3億部iPhone數據,并以此向蘋果公司勒索價值7.5萬美元的比特幣贖金。這名黑客聲稱,他在一封電子郵件中獲得了2億個iCloud賬戶,但在另一封電子郵件中,他聲稱獲得了3億個蘋果電子郵件賬戶,后來這個數字后又變為5.59億。盡管這件事前后充滿了矛盾,但最終當局設法找到了該名黑客,并確認他是Kerem Albayrak。現在,Albayrak承認了自己的罪行,并承認了勒索蘋果公司的指控。據近期報道,他承認自己是一個名為Turkish Crime Family的黑客組織的成員,并威脅要清除數百萬蘋果用戶的賬戶。在倫敦南華克刑事法庭的聽證會之后,Albayrak被判兩年監禁,緩期執行。此外,他還將面臨300小時的社區服務以及電子宵禁,這將持續6個月。(Bitcoinist)[2019/12/23]
黑客鏈上地址的部分動向
用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。
直到2月20日,OpenSea的CEO Devin Finzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer 駁斥了「價值2 億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT 獲得了價值170?萬美元的ETH。
區塊鏈安全審計機構 PeckShield 列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland 的資產和NFT頭像「無聊猿」Bored Ape Yacht Club等。該機構還披露,黑客利用Tornado Cash清洗了1100 ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。
用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。
對此,Devin Finzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea 鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約(Wyvern 2.3 合約)不是攻擊的載體;使用 OpenSea 上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。
簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。
截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。
推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的 Wyvern 訂單」,因為除了攻擊者合約和調用數據(calldata)之外,訂單基本上是空的,攻擊者簽署了另一半訂單。
該攻擊似乎利用了Wyvern 協議的靈活性,這個協議是大多數 NFT 智能合約(包括在 OpenSea上制定合約)的基礎開源標準,OpenSea 會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。
按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移 NFT 的所有權。
簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。
也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern 2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。
截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序(Ethereum Token Approval)上取消自己的NFT授權。
Tags:NFTPENENSSEAMusician Worlds NFTOpenStream WorldSensible Finance[OLD]OSEA
在本文中,我們將介紹5個MetaMask替代品,它們可以用于跨以太坊和其他區塊鏈的DeFi。MetaMask在全球擁有數百萬用戶,是以太坊和其他區塊鏈上與dapp交互的最受歡迎的Web3錢包.
1900/1/1 0:00:00Azuki 于 2022 年 1 月通過 荷蘭拍賣,結果1 ETH 單價在1分鐘售罄。推出后僅一個月,它就成為第 10 大交易量的 NFT 項目,在撰寫本文時產生了超過 105,000 ETH(.
1900/1/1 0:00:00摘要 發展城市的目的是什么?城市規劃應該遵循什么樣的原則?以及如何評價城市的發展?回答了這三個問題后.
1900/1/1 0:00:00原標題:NFT 抵押借貸的簡單思考 引子 說回抵押借貸,對于 FT 而言,抵押顯然需要承擔一定的流動性成本:面對代幣上漲,無法出售并獲利;面對代幣下跌,只能被動持有.
1900/1/1 0:00:003月3日Cosmos EVM網絡Evmos宣布主網正式上線。什么是Evmos請看金色財經此前文章“一文讀懂EVMOS”。金色財經再帶你一覽Evmos生態系統.
1900/1/1 0:00:00虛擬現實技術“天生”適合運用于心理治療。 核心內容 虛擬現實技術以其可提供的沉浸感、私密性、靈活性等特點提供了更好的心理治療環境;VR設備與技術和心理研究資源是主要的競爭壁壘;虛擬現實技術或是國.
1900/1/1 0:00:00