一、OpenSea事件描述
近日,OpenSea首席執行官Devin Finzer在一條推文表示:"到目前為止,有32個用戶簽署了來自攻擊者的入侵,他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。
"我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞,這似乎是源于OpenSea網站之外的釣魚攻擊。請不要點擊opensea.io以外的鏈接。"
SharkTeam第一時間對此事件進行了攻擊技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
拳王泰森計劃在Solana或以太坊上推出NFT商品:9月9日消息,拳王邁克·泰森官方推特賬戶發文”Solana or Ethereum”,暗示可能在Solana或以太坊區塊鏈上推出NFT商品。有加密社區成員建議,如果泰森希望尋找一個更成熟的全球藝術家和交易者社區,那么選擇以太坊,如果正在尋找一個新興社區,可以選擇Solana。[2021/9/9 23:13:35]
二、OpenSea事件攻擊原理分析
攻擊者賬戶(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74
攻擊合約(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd
1. 創建攻擊合約
日本格斗賽事聯盟RIZIN在IOST鏈上推出專屬NFT交易平臺:據官方消息,日本格斗賽事聯盟RIZIN FIGHTING FEDERATION宣布在IOST公鏈上推出RIZIN 格斗系列NFT交易平臺。
RIZIN 格斗系列NFT交易平臺計劃于2021年底前正式上線。該NFT市場支持用戶買賣、收藏有關格斗經典場面、高光時刻的NFT。
RIZIN FIGHTING FEDERATION是日本的一家格斗賽事聯盟,該聯盟經常組織和管理 MMA(混合格斗)、跆拳道比賽。[2021/8/26 22:38:52]
交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779
模特Emily Ratajkowski的NFT在佳士得以17.5萬美元拍賣出售:金色財經報道,模特Emily Ratajkowski的NFT在周五下午的佳士得拍賣會上以17.5萬美元的價格拍賣出售。[2021/5/15 22:05:06]
2. 發起攻擊
以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad為例,
執行過程如下:
EthHub聯合創始人:今年的熱點是Layer2、NFT、DeFi、穩定幣和鏈游:EthHub聯合創始人Anthony Sassano發推稱,2021年是屬于Layer2、NFT、DeFi、穩定幣和鏈游的一年。換句話說,2021年是屬于以太坊的一年。[2021/2/24 17:48:42]
WyvernExchange合約atomicMatch函數如下:
其中,訂單簽名校驗requireValidOrder函數如下:
函數中包含了掛單授權(簽名)的校驗,因此,攻擊者發起攻擊交易,將NFT從原來持有者賬戶(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 記為0xf2d2)轉賬到攻擊者賬戶,需要獲取到賬戶0xf2d2的授權(簽名)。
攻擊者要想獲取到其他賬戶的簽名,可以通過以下方法:
(1)獲得賬戶的私鑰
(2)簽名重放攻擊
(3)通過網絡釣魚等詐騙方式獲取用戶的私鑰或者簽名。
這里,攻擊者明顯并沒有獲取到賬戶0xf2d2的私鑰,而且函數中有防止簽名重放的措施:
另外,也沒有從交易中發現簽名重放攻擊。
因此,我們分析,被攻擊的用戶意外簽署了來自攻擊者的惡意交易,攻擊者獲得了用戶的掛單授權,然后利用該授權簽名竊取了用戶的NFT。綜上所述,我們認為此次攻擊事件是由鏈下的網絡釣魚攻擊引起的,而不是鏈上合約代碼漏洞造成的。
三、X2Y2安全事件
無獨有偶,2022年2月18日,大V賬號(DiscusFish)在Twitter上面指出,NFT交易平臺X2Y2上面NFT掛單挖礦存在風險。
此外,還指出X2Y2上掛單挖礦模式所采用的交易 Exchange 合約是可升級合約,升級權限(proxyAdmin的owner)是官方單地址,理論上存在官方通過升級合約,然后轉走用戶NFT的可能。
X2X2團隊針對可升級合約的漏洞,采用多簽錢包和時間鎖對合約進行了修復:
四、安全建議
OpenSea被攻擊事件屬于網絡釣魚攻擊,而X2Y2的問題在于合約漏洞。鑒于此,我們提出以下建議:
1.項目方在開發過程中,要保證業務邏輯以及合約代碼的嚴謹性,選擇多家知名負責的審計公司進行多倫審計。
2. 項目參與者在涉足區塊鏈項目時請提高警惕,盡可能選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,在發起交易、簽名授權時要謹慎,盡可能地只通過官方指定的網站參與投資。
Tags:NFTENSOpenSeaSEAWorldNFTLunaGensopensea幣價格blockchainresearchandapplication
元宇宙(Metaverse)的概念逐漸深入人心,成為近期區塊鏈行業熱議的重點。本篇報告將從元宇宙的概念、現有元宇宙產品分析洞察以及元未來預測等方面,深度分析元宇宙的發展趨勢.
1900/1/1 0:00:00近日,據國外媒體報道,Facebook 考慮開發與 NFT(非同質代幣)有關的產品或者功能。Facebook 高管大衛·馬庫斯(David Marcus)在接受采訪時表示會探索各種方式進入這一領.
1900/1/1 0:00:00各位朋友,新年快樂,把這作為一份禮物送給在區塊鏈,元宇宙行業的朋友祝大家在區塊鏈行業,2022年好運常在,財運猛漲! 支付寶鯨嘆 入口:支付寶旗下.
1900/1/1 0:00:004月1日,周杰倫在INS上發文,表示自己價值超300萬的NFT被盜。而后一周,超30個NFT相繼被盜,NFT也再度進入大眾的視野。也引起了大家對NFT安全性的熱議.
1900/1/1 0:00:00GameStop 是一家從 2021 年初流行的 WallStreetBets 運動中受益的公司,最近宣布他們將推出一個NFT市場.
1900/1/1 0:00:00最近每個人都在談論全鏈(omnichain)NFT。但是,什么是全鏈 NFT?如果你對此一無所知,不用擔心——在過去的幾周里,這個概念剛剛開始涌入加密經濟的討論中.
1900/1/1 0:00:00