PEN:“OpenSea漏洞事件”致使大量NFT被竊取，多方分析疑為網絡釣魚攻擊_OPEN價格

2月20日上午，“OpenSea新遷移合約疑似出現bug導致大量高價值NFT被竊取”一事引發熱議。

據多個推特KOL反映稱，該事件起因是OpenSea昨日推出的新遷移合約疑似出現BUG，攻擊者利用該BUG竊取大量NFT并賣出套利，失竊NFT涵蓋BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多種高價值系列。

新遷移合約，是OpenSea發布的一項新升級。昨日，OpenSea宣布其智能合約升級已完成，新的智能合約已經上線，用戶遷移智能合約需簽署掛單遷移請求，簽署此請求不需要Gas費，無需重新進行NFT審批或初始化錢包。在遷移期間，舊智能合約上的報價將失效。英式拍賣將于合約升級完成后暫時禁用幾個小時，新合約生效后，可以再次創建新的定時拍賣。現有智能合約的荷蘭式拍賣將于北京時間2月26日3時在遷移期結束時到期。

耐克“Our Force 1”Box鑄造量已超7.5萬件，占比70.9%:金色財經報道，據Dune Analytics最新數據顯示，目前耐克“Our Force 1”Box鑄造量已超7.5萬件，本文撰寫時為75,470件，占比70.9%，當前尚未鑄造的剩余“Our Force 1”Box約為30,983個。“Our Force 1”是耐克公司在旗下Web3可穿戴設備平臺.Swoosh 平臺上推出的首個數字運動鞋系列，于上周5月24日啟動一般訪問計劃，首日吸引了超過3萬多名會員參與。[2023/5/29 9:48:14]

推特KOL“Jon_HQ”在推文中指出，攻擊者總共花費了750美元的gas費，沒有支付ETH購買，但獲得了4個Azukis、2個Coolmans、2個Doodles、2個KaijuKings、1個MAYC、1個CoolCat、1個BAYC……

PROOF推出Web3創作者加速計劃“Outliers”:3月25日消息，NFT項目Moonbirds母公司PROOF在社交媒體宣布推出Web3創作者加速計劃“Outliers”，旨在支持“嘗試突破技術障礙并通過其藝術作品進行創新”的創作者，據悉首批入圍2023春季隊列的創作者共有15個，包括Terrell Jones、Alien Queen、Patrick Amadon等。[2023/3/25 13:25:50]

Axie Infinity將分階段軟啟動“Origin”:3月18日消息，鏈游 Axie Infinity 宣布即將分階段軟啟動 Axie Infinity：Origin。團隊計劃先從小范圍開始從桌面客戶端逐步向移動端開發擴展，并在初始發布后的幾個月內完善版本功能。Axie Infinity：Origin 全面發布后，將包含 SLP 獎勵、NFT 符文等玩法，游戲內容包含 PVE 故事模式、訓練模式和排名模式，并擁有官方賽季。[2022/3/18 14:04:04]

Mr.Whale也在推特上表示，Opensea“漏洞利用”可以允許用戶出售、竊取任何用戶的任何NFT，損失已超過2億美元。

聲音 | Libra無許可版本“OpenLibra”創建者最初公布的項目參與者信息有誤:Libra無許可版本“OpenLibra”的創建者最初介紹的項目參與者信息有誤，目前已有4個人和組織否認參與該項目，還有人指出，他們的參與程度被夸大了。據悉，該項目于10月9日在Devcon上公布。

區塊鏈創業公司Tendermint Inc.的核心開發人員Sunny Aggarwal表示：“我參加了一個社區的OpenLibra活動。在那之后我什么都沒做。在我的名字出現在（介紹OpenLibra項目的）幻燈片上之前，沒人問過我。”除了Aggarwal，來自Chainlink、Web3基金會和Hashed的代表亦表示，他們的名字也是未經允許就被使用了。OpenLibra項目的創始人Lucas Geiger后來已就此事向當事人道歉。

Geiger并沒有確認周三公布的30個名單中哪些是“潛在合作伙伴”，哪些是OpenLibra項目的實際合作伙伴。到目前為止，有9個人直接確認參與了OpenLibra計劃。（CoinDesk）[2019/10/11]

隨后，就在眾人熱議之際，“OpenSea事件”的發展出現了轉折，攻擊似乎并非BUG導致。

gmDAO創始人Cyphr.ETH發推表示，黑客使用了標準網絡釣魚電子郵件復制了幾天前發生的“正版OpenSea”電子郵件，然后讓一些用戶使用WyvernExchange簽署權限。OpenSea未出現漏洞，只是人們沒有像往常一樣閱讀簽名權限。

安全公司PeckShield也表示，雖然未經證實，但Opensea黑客很可能是網絡釣魚。用戶按照網絡釣魚郵件中的指示授權“遷移”，而這種授權很不幸地允許黑客竊取有價值的NFTs……

以太坊智能合約編程語言Solidity的開發者foobar則分析稱?，黑客使用30天前部署的一個助手合約，調用4年前部署的一個操作系統合約，使用有效的atomicMatch()數據。這可能是幾個星期前的典型網絡釣魚攻擊。而不是智能合約漏洞，代碼是安全的。

截止目前，OpenSea官方已針對此事展開調查，并發布推特回應稱?：“我們正在積極調查與OpenSea智能合約有關的傳聞。這看起來像是來自OpenSea網站外部的網絡釣魚攻擊。不要點擊http://opensea.io之外的任何鏈接。”

根據多位推特KOL和官方聲明，本次漏洞事件原因基本上應該是外部網絡釣魚攻擊所致。但是也出現了一些不同的聲音。

譬如，OracleHawk首席執行官JacobKing就在推特上發了一張代碼截圖并認為?：“OpenSea現在撒謊并聲稱該漏洞實際上只是人們收到的網絡釣魚電子郵件。這100%不是真的，而是他們代碼中的一個缺陷導致了歷史上最大的NFT漏洞利用之一。”

此次漏洞事件最終原因是什么，我們仍需等待OpenSea的調查結果。巴比特持續關注中。

Tags：PENOPENENSSEAPengolinCoinOPEN價格Tokens of Babelopensea幣價格

FTX