PEN:針對的Opensea釣魚攻擊，嚇壞了早起的NFT玩家

今晨，關于OpenSea疑似出現bug一事引發了大量關注與熱議。

事件起因為，多位用戶今晨于推特發布警告稱，OpenSea昨日推出的新遷移合約疑似出現bug，攻擊者正利用該bug竊取大量NFT并賣出套利。

從攻擊者錢包的截圖來看，當前失竊NFT涵蓋BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多種高價值系列，其中部分已以地板價賣出，但也有一部分已遠路轉回失竊地址。

Balancer：已針對漏洞制定緩解程序但無法暫停受影響的資金池，尚無法披露損失確切數字:8月31日消息，DeFi流動性協議Balancer針對漏洞風險發布更新稱，已制定緩解程序以降低風險，但受影響的流動性池無法暫停，敦促用戶立即使用用戶界面（UI）退出受影響的LP。由于Balancer LP的警惕和迅速行動，最初被視為易受損的絕大多數流動性被撤回。然而，8月27日，即漏洞披露后5天，惡意行為者成功利用了在Balancer和Beethoven X協議中受影響的資金池中仍存在的部分資金漏洞。Balancer和Beethoven X社區正在采取已知措施徹底調查情況，并積極與相關合作伙伴、法律團隊和安全專家合作解決問題。用戶的安全仍然是最高優先級，如果UI不提示退出流動性池或允許用戶進入流動性池，則該池沒有風險并且被認為是安全的。

Balancer表示：我們仍在收集有關最近一些漏洞的信息，因此目前無法披露與損失有關的確切數字。在此期間，我們將保持警惕，并隨著事態的進展隨時向社區通報最新情況。我們仍在收集有關最近一些漏洞利用的信息，因此目前不可能披露與損失有關的確切數字。由于對漏洞及其參與者的調查正在進行中，在全面調查完成并發布事后分析之前，與社區之間的溝通將仍然受到限制。[2023/8/31 13:07:46]

所謂遷移合約，來自于OpenSea昨日發布的一項新升級。昨日，OpenSea宣布其智能合約升級已完成，新的智能合約已經上線，用戶遷移智能合約需簽署掛單遷移請求，簽署此請求不需要Gas費，無需重新進行NFT審批或初始化錢包。在遷移期間，舊智能合約上的報價將失效。英式拍賣將于合約升級完成后暫時禁用幾個小時，新合約生效后，可以再次創建新的定時拍賣。現有智能合約的荷蘭式拍賣將于北京時間2月26日3時在遷移期結束時到期。

聲音 | 日本金融廳長官：針對區塊鏈等分布式金融系統，如何確保公眾利益已成為新課題:據日經新聞消息，今日在日本福岡舉行的G20峰會上，日本金融廳長官遠藤俊英發表演講指出“監管規則可能抑制創新，監管規則也會跟不上技術變革”。此外，以區塊鏈技術為首的分布式金融系統在沒有金融機構充當中介的情況下，可能實現顧客和市場參與者之間的直接交易，因此金融機構的地位存在下降的可能性，在這種情況下，如何確保公眾利益已成為新的課題。[2019/6/8]

事件發生后，OpenSea于官方推特回應稱：“我們正在積極調查與OpenSea智能合同有關的傳聞。這看起來像是來自OpenSea網站外部的網絡釣魚攻擊。不要點擊http://opensea.io之外的任何鏈接。”

動態 | 美國加州北區法院法官取消針對瑞波案的會議:美國政府執法辯護和證券訴訟律師Jake Chervinsky在Twitter發文表示，“今天，美國加州北區法院法官Hamilton聽取了關于還押原告動議的口頭辯論，并取消了下周的案件管理會議。這意味著她需要一些時間來做出決定，否則案件將被打回到州法院。”[2019/2/14]

Alchemix、Sushiswap貢獻者，推特用戶@0xfoobar在事件發生了也于推特發布了關于此事的個人調查。@0xfoobar稱，黑客系使用30天前部署的輔助程序合約來調用4年前部署的OpenSea合約，該輔助合約同樣具有有效的atomicmatch()數據，這可能是起于幾個星期前的一場釣魚攻擊，黑客正趕著在所有掛單過期之前進行攻擊。

@0xfoobar進一步分析稱，此事與OpenSea新遷移合約唯一的關系是，由于OpenSea智能合約升級后所有的歷史掛單都將在6天內到期，這其中也包含了所有來自已被釣魚攻破的地址的掛單，所以黑客不得不立即采取行動。換句話說，這是一場釣魚攻擊，而非一場通用智能合約漏洞，OpenSea的合約并沒有出現問題。

@0xfoobar的分析與其他一些大V不謀而合，gmDAO創始人Cyphr.ETH發推稱，黑客使用了標準網絡釣魚電子郵件復制了幾天前發生的正版OpenSea電子郵件，然后讓一些用戶使用WyvernExchange簽署權限。OpenSea未出現漏洞，只是人們沒有像往常一樣閱讀簽名權限。

至此，本次安全事件的原因已基本明了，受影響群體為曾點擊過上述郵件并簽署了權限的用戶，出于安全起見，建議這些用戶暫時撤銷OpenSea的所有授權。可用的合約授權簽署工具包括https://revoke.cash/或https://zapper.fi/revoke或https://etherscan.io/tokenapprovalchecker或https://approved.zone/或https://tac.dappstar.io/#/，部分網站可能因當前訪問量過大無法打開，可以多試試。

Tags：PENOpenSeaSEAOPENOpen Linkopensea幣單個價格Ethereum Message SearchOpenSwap

FIL幣