比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

ENS:黑客釣魚攻擊閃襲OpenSea用戶

Author:

Time:1900/1/1 0:00:00

2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。

次日,OpenSea的CEODevinFinzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。

用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。

2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。

CZ:黑客合約不是“Binance”智能合約,會與執法部門密切合作凍結黑客資金:金色財經報道,Binance創始人CZ在社交媒體上表示,加密行業里的開發人員越來越多,出現開發者私鑰被盜的可能性就越大,有好有壞。在決定凍結黑客地址之前,Binance需要時間驗證,否則任何人都會要求Binance將其他人的地址列入黑名單,這與生活中的大多數事情一樣,需要一種平衡。在凍結黑客資金這類情況下,Binance團隊一直與執法部門密切合作。在回應Binance是否實在測試如何處理黑客合約問題時,CZ表示并不是“Binance”智能合約,而Ankr是DeFi生態系統中的獨立項目團隊。[2022/12/3 21:19:01]

OpenSea用戶遭「釣魚」丟失NFT

2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。

The Block 研究總監:FTX被黑客攻擊為謠言:9月14日消息,The Block 研究總監Larry Cermak發布推特稱,FTX 被黑客入侵的謠言像野火一樣蔓延,是假的,不要關注它。此前,比特幣鏈上出現約 4.49 萬的大額比特幣在不斷流轉,通過交易明細可推斷出這批比特幣可能來自 FTX 交易所對錢包的一個聚合整理。FTX創始人SBF發布推特稱,“比特幣提款處理涉及將來自存款地址等的 UTXO 組合在一起,幾天前,我們將一些 UTXO 合并到一個地址中,以加快處理速度。”[2021/9/14 23:23:16]

2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。

CMC創始人:公司從未遭到過黑客攻擊:CoinMarketCap在推特舉辦首席執行官兼創始人BrandonChez的AMA,當被問及AMA格式是出于匿名還是隱私目的時,Chez表示,“我確實重視我的隱私,但我并不完全反對未來嘗試更多的AMA格式。Chez表示,“CMC在早期曾數次被DDoS攻擊,但我很高興地說,我們從未遭到過黑客攻擊。”有推特用戶提到2019年報告稱CMC顯示虛假交易量的話題。Chez表示,“我們已經發布一個新的度量標準,可以更準確地描述交易所的活動,”Chez提及的是流動性指標。至于Chez是如何進入加密領域的,他指出,2011年比特幣資產達到1美元時,他偶然發現一篇關于比特幣的文章,此后一直參與其中。[2020/2/29]

從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具TornadoCash「洗幣」的操作。

動態 | 卡巴斯基實驗室:朝鮮黑客組織“拉撒路”成功滲透一加密貨幣交易平臺的IT系統:據bleepingcomputer消息,殺軟件供應商卡巴斯基實驗室稱,幾年前入侵索尼的朝鮮黑客組織“拉撒路(Lazarus Group)”已經部署了他們的第一個Mac惡意軟件。卡巴斯基的研究人員在報告中透露,拉撒路已經滲透進一個亞洲加密貨幣交易平臺的IT系統。[2018/8/23]

黑客鏈上地址的部分動向

用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。

直到2月20日,OpenSea的CEODevinFinzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與OpenSea網站相關聯。到目前為止,似乎有32個用戶簽署了來自攻擊者的惡意有效載體,他們的一些NFT被盜。」Finzer駁斥了「價值2億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT獲得了價值170?萬美元的ETH。

區塊鏈安全審計機構PeckShield列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland的資產和NFT頭像「無聊猿」BoredApeYachtClub等。該機構還披露,黑客利用TornadoCash清洗了1100ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。

攻擊者如何拿到用戶「簽單」授權?

用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。

對此,DevinFinzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約不是攻擊的載體;使用OpenSea上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。

簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。

截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。

推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的Wyvern訂單」,因為除了攻擊者合約和調用數據之外,訂單基本上是空的,攻擊者簽署了另一半訂單。

該攻擊似乎利用了Wyvern協議的靈活性,這個協議是大多數NFT智能合約的基礎開源標準,OpenSea會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。

按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移NFT的所有權。

簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。

也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。

截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序上取消自己的NFT授權。

Tags:ENSNFTSEAPENTower Defense TitansBNFT價格PulseApeCoinAPENFT幣最新銷毀

fil幣價格今日行情
WEB:金色觀察|萬卉:Web2的背面不是Web3

本文來自twitter“Dovey“RugTheFiat”Wan”整理而來,轉載請注明出處。“Web2的背面不是Web3”?這大概是今年我重復說的最多的一句話.

1900/1/1 0:00:00
元宇宙:新京報專訪:時隔30年 “元宇宙之父”如何解讀“元宇宙”?

元宇宙的概念大火,已從2021年跨越至2022年,許多科技巨頭相繼進軍元宇宙。稍早前,微軟以所謂的元宇宙為由,以687億美元收購游戲開發商動視暴雪,稱該交易將&ampldquo;為元宇宙.

1900/1/1 0:00:00
元宇宙:元宇宙進化史:從何而生?去向何處?

元宇宙突然間席卷全球,大多數人還未及反應已被裹挾著往前走;科技巨頭紛紛建設、投資元宇宙,率先擁有“元宇宙”概念的公司市值一夜之間增長幾百億......回過神來.

1900/1/1 0:00:00
BRIDGE:首發:十天內三起“炸橋案” V神指出跨鏈橋安全風險或將摧毀多鏈未來

隨著區塊鏈技術的發展及各類新增長的出現,加密貨幣生態系統隨之產生了更多的安全風險及復雜性。在2021年的基礎上,2022年的攻擊賽道又出現了一位“強力選手”.

1900/1/1 0:00:00
PEN:Opensea漏洞利用正在進行中:怎樣保護自己的資產

有傳言稱,Opensea的智能合約被一名黑客利用,該黑客目前已從32名交易者那里抽走了超過170萬美元的資金和數十個有價值的NFT.

1900/1/1 0:00:00
ETH:讀完倒吸一口寒氣 一億美元是怎么差點被騙走的?

本文梳理自Arrow創始人thomasg.eth在個人社交媒體平臺上的觀點:在過去兩周的時間里,我成為了一個高級詐騙團伙的目標,這幾乎讓我損失了所有的ETH.

1900/1/1 0:00:00
ads