OPEN:OpenSea遭遇釣魚攻擊 波及資產超170萬美元_NFTART

NFT安全問題再受矚目

昨晚，有報道稱NFT收集者一直在從錢包中丟失NFT和以太坊，OpenSea疑似遭到網絡釣魚攻擊瞬間成為大眾密切關注的話題。

OpenSea首席執行官DevinFinzer及時對涉嫌網絡釣魚詐騙作出回應，本次網絡釣魚攻擊波及的資產總額達640ETH，相關NFT已經在被標記為“Fake_Phishing5169”的錢包之中。

據鏈上數據顯示，該惡意錢包于去年12月進行了第一筆交易，但網絡釣魚攻擊在昨天才開始。此外，該錢包還一直在與另一個被標記為OpenSea網絡釣魚詐騙的錢包進行交互。

0xscope：兩個匿名地址24小時內共向幣安發送約5億枚USDC:2月14日消息，Web3知識圖譜協議0xscope發推表示，過去12小時，幣安的穩定幣流出似乎得到了控制，15小時內沒有處理超過100萬枚USDC提款。此外，兩個匿名地址已向幣安共發送了約5億枚USDC。疑似幣安正在采取行動。

其中一個0x3356開頭的地址在過去24小時內從Circle收到了4.5億枚USDC并將其存入幣安。第二個0xb224開頭的地址12小時前向幣安存入了5000萬枚USDC，資金同樣來自Circle。[2023/2/14 12:05:47]

在過去的24小時內，大量來自底價高的收藏的NFT被轉移，例如BoredApeYachtClubNFT、CoolCats、Doodles和AzukiNFT。Fake_Phishing5169地址還通過競爭對手NFT市場Rarible和LooksRare進行了交易。

風投機構1confirmation創始人公布年終LP信件，仍持有以太坊、OpenSea等項目大量股份和代幣:1月11日消息，風投機構1confirmation創始合伙人Nick Tomaino在社交媒體上公布其年終LP信件，其中指出，1confirmation Fund I、Fund II向合作伙伴分配了1.19億美元現金，目前仍持有以太坊、OpenSea、Cosmos、dYdX、SuperRare等項目的大量股份和代幣。

此外，Fund I現在的凈分配為實收資本（DPI）的4.47倍，內部回報率（IRR）為144.28%；Fund II現在的凈分配為實收資本(DPI)的1.2倍，內部回報率（IRR）為173%。Fund III和NFT Fund已進行了15項新投資，NFT Fund已部署25%的資金。[2023/1/11 11:06:04]

對于此次事件，OpenSea表示正在進行積極調查。最新消息稱，OpenSea官方發推表示，目前這次網絡釣魚攻擊還沒有調查出確定確切的來源，但想有一些EOD更新：已將受影響的個人名單縮小到17人，而不是之前提到的32人。最初的計數包括與攻擊者有過“交互”的任何人，而不是網絡釣魚攻擊的受害者。這次攻擊似乎不活躍，超過15小時沒有惡意合約活動。

Klaytn宣布與OpenSea達成合作:金色財經報道，Klaytn Foundation和OpenSea宣布了一項針對亞洲NFT生態系統的合作，這些努力包括非功能性金融會議和生態系統發展倡議。到目前為止，Klaytn已經在亞洲建立了強大的合作伙伴，其中包括新加坡的Altava集團、泰國的East NFT、日本的Soramitsu和中國的區塊鏈服務網絡(BSN)。項目和開發人員還可以利用Klaytn增長基金(KGF)、開發人員工具和資源，并期待Klaytn通過入局戰略合作伙伴構建的端到端元域支持包，以提供基礎設施和其他支持服務。（prnewswire）[2022/6/24 1:28:11]

OKChain進度月報：OpenDEX開發完成90%:據OKChain官方發布的8月項目進度月報顯示：OKChain測試網已升級至v0.11.1版本，增添了支持OpenDEX-Desktop v0.0.2的核心功能。同時，完成新一輪的代碼優化與Bug修復工作；在產品設計方面：OpenDex桌面版整體開發進度已完成90%，其中功能已開發測試完畢。Wasm智能合約的開發完成90%；并且，OKChain首屆“黑客松”創新應用大賽評審結果正式亮相。共有來自業內的8家權威評委對參賽作品進行全面評估并打分。本次共有24個參賽團隊和個人提交的作品，涉及DEX、數字資產錢包、API、虛擬機、區塊鏈瀏覽器、Staking、開發者工具、SDK、跨鏈等多個創新應用領域。[2020/9/11]

不過DevinFinzer在事情剛發生時就推特上表示，該漏洞可能根本沒有襲擊OpenSea，到目前為止，似乎有32位用戶簽署了來自攻擊者的惡意有效載荷，并且他們的一些NFT被盜。

簡單來說，DevinFinzer猜測人們可能收到了偽造成官方的電子郵件，誘導他們將NFT轉移到其他人的錢包中。

此外，DevinFinzer還表示，推特用戶Neso的帖子與他對所發生事情的理解一致。

Neso發推解釋了技術方面的可能性，Neso表示，丟失資產的人可能簽署了一半有效的wyvern訂單，攻擊者簽署了另一半訂單。wyvern合約非常靈活，OpenSea會在其前端/api上驗證訂單，以確保用戶簽署的內容將按預期運行，但同樣的合約仍然可以被其他人使用，如果人們簽署這樣更復雜的訂單，攻擊者就可以拿走得到正式認可的所有東西。

這次攻擊恰逢新智能合約Wyvern2.3的發布，OpenSea當時要求用戶遷移他們的列表，不少猜測表示或許與此有關。不過OpenSea的攻擊來源依舊沒有得到確切的消息，這些猜測也只是猜測，關于后續的故事，仍需繼續等待OpenSea的調查結果。

有趣的是，此次事件中攻擊者的交易操作著實讓很多人摸不著頭腦。

比如為什么網絡釣魚詐騙者在拿走他的一些資產后選擇歸還部分資產？

再比如，為什么歸還部分資產之后向naterivers.eth發送了50個以太坊？

......

是良心發現還是耀武揚威？恐怕這些謎之操作，也只有攻擊者自己知道。

最后，為了防止NFT和以太幣的丟失，最好通過Etherscan的代幣批準功能撤銷訪問權限，最好將資產轉移到硬件錢包中。

Etherscan的代幣批準功能鏈接如下：

https://etherscan.io/tokenapprovalchecker

作者：Corn

Tags：PENOPENNFTSEAPEND幣OPENXNFTARTOmnisea

BNB