ENS:OpenSea CTO發文回顧釣魚攻擊：外部攻擊導致，并非自身系統性問題

作者：OpenSeaCTONadavHollander

2月21日，OpenSeaCTONadavHollander發布了關于針對OpenSea用戶的釣魚攻擊的技術概要。據悉，這次攻擊導致了大約300萬美元資產被盜，包括無聊猿，Azuki和CloneX等知名NFT系列。

本帖子分享了針對@OpenSea用戶網絡釣魚攻擊的技術概要，包括提供一些web3方面的技術教育。

美參議員呼吁對美聯儲進行獨立調查：兩方面工作都失敗:3月20日消息，據美國《國會山報》3月19日報道，美國馬薩諸塞州聯邦參議員伊麗莎白·沃倫在電視節目中嚴厲批評了美聯儲主席鮑威爾在監管方面的失敗，呼吁對美聯儲和整個監管體系進行調查。沃倫在采訪中表示，鮑威爾不應該領導美國的中央銀行系統，他在貨幣政策和銀行監管兩方面的工作都失敗了。沃倫還說，我認為他不應該加息，我一直認為，他采取極端的加息措施是不應該做的事情。美聯儲不僅僅需要自己進行調查，我呼吁對美聯儲和整個監管體系進行獨立調查。報道說，沃倫此前多次表示，隨著過去兩個星期里連續兩家銀行出現危機，潛在的金融危機正在逼近，她呼吁繼續加強銀行監管。 (海外網)[2023/3/21 13:15:42]

在審查了這次攻擊中的惡意訂單之后，可以看出以下一些數據點：

比特幣閃電網絡通道數量為76,480個:金色財經報道，1ML數據顯示，當前比特幣閃電網絡節點為16,241個，過去30天增加1.15%;通道數量為76,480個，較一個月前增加了0.6%;網絡容量為5,403.20枚BTC，月漲3%。[2023/2/25 12:28:32]

所有惡意訂單都包含來自受影響用戶的有效簽名，表明這些用戶確實在某個時間點某處簽署了這些訂單。但是，在簽署之后時，這些訂單都沒有廣播到OpenSea。

美國6月未季調CPI年率 9.1%，為1981年11月以來最大增幅:金色財經報道，數據顯示，美國6月未季調CPI年率 9.1%，預期8.80%，前值8.60%，為1981年11月以來最大增幅。美國6月季調后CPI月率錄得1.3%，創2005年9月以來新高。CPI數據公布后，美股股指期貨直線下挫，納指期貨跌1.5%，道指期貨跌0.6%，標普500指數期貨跌約1%。比特幣短線走低近700美元。(金十)[2022/7/13 2:11:18]

沒有惡意訂單針對新的合約執行，表明所有這些訂單都是在OpenSea最新的合約遷移之前簽署的，因此不太可能與OpenSea的遷移流程相關。

32名用戶的NFT在相對較短的時間內被盜。這是非常不幸的，但這也表明了這是一場有針對性的攻擊，而不是OpenSea存在系統性問題。

這些信息，再加上我們與受影響用戶的討論和安全專家的調查，表明由于意識到這些惡意訂單即將失效，因此攻擊者在2.2合約棄用之前執行了這場網絡釣魚操作。

在這場網絡釣魚詐騙之前，我們選擇在新合約上實施EIP-712的部分原因是EIP-712的類型化數據功能使不法分子更難在不知情的情況下誘騙某一位用戶簽署訂單。

例如，如果您要簽署一條消息以加入白名單、抽獎或以代幣作為門檻的discord群組，您會看到一個引用Wyvern的類型化數據有效負載，如果發生一些不尋常的事情，則會向你發出提醒。

“不要共享助記詞或提交未知交易”，這種教育在我們的領域已經變得更加普遍。但是，簽署鏈下消息同樣需要同等的思慮。

作為一個社區，我們必須轉向使用EIP-712類型數據或其他商定標準）來標準化鏈下簽名。

在這一點上，您會注意到在OpenSea上簽署的所有新訂單都使用新的EIP-712格式——任何形式的更改都是可以理解的，但這種更改實際上使訂單簽署更加安全，因為你可以更好地看到你簽的是什么。

此外，強烈呼吁@nesotual,@dguido,@quantstamp等開發者和安全公司向社區提供有關這次攻擊性質的詳細信息。

盡管攻擊似乎是從OpenSea外部發起的，但我們正在積極幫助受影響的用戶并討論為他們提供額外幫助的方法。

Tags：ENSPENOPENOpenSeaL-DimensionOPENAIERCOpen Proprietary Protocolopensea幣價格

OKB