一、OpenSea事件描述
近日,OpenSea首席執行官Devin Finzer在一條推文表示:"到目前為止,有32個用戶簽署了來自攻擊者的入侵,他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。
"我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞,這似乎是源于OpenSea網站之外的釣魚攻擊。請不要點擊opensea.io以外的鏈接。"
SharkTeam第一時間對此事件進行了攻擊技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
區塊鏈NFT游戲Space SIP發布2022年路線圖:1月8日消息,區塊鏈NFT游戲Space SIP發布2022年路線圖,具體如下:
-第一季度:將升級和開發游戲功能(提供融合和技能系統,建立和優化PvP系統),向社區介紹Space元宇宙和NFT游戲框架,提供改進版SIP DeFi功能( LP質押池、NFT市場借貸),以及擴展Space SIP生態系統。這些目標將有助于為Space元宇宙的未來發展奠定基礎。
-第二季度:繼續開發功能和Space元宇宙;將建立Space SIP DAO,推出自己的側鏈世界Space Chain。
-第三季度:將推出Space SIP NFT組裝和寵物系統;將擴大與游戲公會合作伙伴的合作,并將其他游戲合作伙伴連接到Space Chain系統。
-第四季度:將提供一系列功能,發布Space元宇宙第二款游戲;提供新的NFT角色和皮膚系統,允許用戶根據喜好來裝飾NFT。[2022/1/9 8:35:14]
二、OpenSea事件攻擊原理分析
SushiSwap NFT平臺Shoyu將于下周上線:10月26日消息,SushiSwap NFT平臺Shoyu將于下周上線。[2021/10/26 20:57:12]
攻擊者賬戶(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74
攻擊合約(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd
1. 創建攻擊合約
交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779
APENFT將三幅安迪·沃霍爾的自畫像制成NFT:6月16日消息,APENFT宣布將三幅安迪·沃霍爾的自畫像制成NFT。這三幅自畫像創作于1986年,是安迪·沃霍爾最具代表性的圖像之一。[2021/6/16 23:41:21]
2. 發起攻擊
以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad為例,
執行過程如下:
日本Coincheck將推出NFT市場 使用代幣交易游戲角色:日本Coincheck交易所今日宣布,將考慮推出“NFT市場”業務,該業務可以將DApps游戲角色代幣化并用NFT交易。以2020年內開始提供服務為目標,將從今天開始招募參與“NFT市場”合作企業。(coinpost)[2020/8/27]
WyvernExchange合約atomicMatch函數如下:
其中,訂單簽名校驗requireValidOrder函數如下:
函數中包含了掛單授權(簽名)的校驗,因此,攻擊者發起攻擊交易,將NFT從原來持有者賬戶(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 記為0xf2d2)轉賬到攻擊者賬戶,需要獲取到賬戶0xf2d2的授權(簽名)。
攻擊者要想獲取到其他賬戶的簽名,可以通過以下方法:
(1)獲得賬戶的私鑰
(2)簽名重放攻擊
(3)通過網絡釣魚等詐騙方式獲取用戶的私鑰或者簽名。
這里,攻擊者明顯并沒有獲取到賬戶0xf2d2的私鑰,而且函數中有防止簽名重放的措施:
另外,也沒有從交易中發現簽名重放攻擊。
因此,我們分析,被攻擊的用戶意外簽署了來自攻擊者的惡意交易,攻擊者獲得了用戶的掛單授權,然后利用該授權簽名竊取了用戶的NFT。綜上所述,我們認為此次攻擊事件是由鏈下的網絡釣魚攻擊引起的,而不是鏈上合約代碼漏洞造成的。
三、X2Y2安全事件
無獨有偶,2022年2月18日,大V賬號(DiscusFish)在Twitter上面指出,NFT交易平臺X2Y2上面NFT掛單挖礦存在風險。
此外,還指出X2Y2上掛單挖礦模式所采用的交易 Exchange 合約是可升級合約,升級權限(proxyAdmin的owner)是官方單地址,理論上存在官方通過升級合約,然后轉走用戶NFT的可能。
X2X2團隊針對可升級合約的漏洞,采用多簽錢包和時間鎖對合約進行了修復:
四、安全建議
OpenSea被攻擊事件屬于網絡釣魚攻擊,而X2Y2的問題在于合約漏洞。鑒于此,我們提出以下建議:
1.項目方在開發過程中,要保證業務邏輯以及合約代碼的嚴謹性,選擇多家知名負責的審計公司進行多倫審計。
2. 項目參與者在涉足區塊鏈項目時請提高警惕,盡可能選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,在發起交易、簽名授權時要謹慎,盡可能地只通過官方指定的網站參與投資。
Tags:NFTSPACEACEPACNFTBlackmarketspacedoge幣怎么買spacepi幣未來價值Alpha Impact
加密藝術交易市場MakersPlace在本月初,完成了3000萬美元融資。在此之前,SuperRare、Nifty Gateway也分別完成了融資計劃,加密藝術市場經歷漫長生長期,最終瓜熟蒂落.
1900/1/1 0:00:00原文標題:《『Beeple Mania』: How Mike Winkelmann Makes Millions Selling Pixels》Beeple,是個藝術家.
1900/1/1 0:00:00來源:老雅痞(微信公眾號ID:laoyapicom)我的Uber把我送到了好萊塢山的一座現代豪宅前。上山的路陡峭而曲折,到處都是數百萬美元的房子,當你從下面的日落大道看過去時,這些房子一閃一閃.
1900/1/1 0:00:00自從去年年中冠希哥高調宣布入場NFT以來,不遺余力孵化自家的NFT。從The Heart Project到好兄弟周杰倫,冠希哥在潮流圈NFT場場都不落.
1900/1/1 0:00:0012月,NFT藝術品市場再一次讓人矚目。12月8日,NFT市場Nifty Gateway官方宣布,知名NFT數字藝術家Pak的實驗性NFT項目Merge售出了價值近9200萬美元的mass代幣,
1900/1/1 0:00:00今年 2 月以來,Mr.703 出售了 344 個 CryptoPunks,但仍持有 175 個.
1900/1/1 0:00:00