2月21日,OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉,这次攻击导致了大约300万美元资产被盗,包括无聊猿,Azuki和CloneX等知名NFT系列。作者:OpenSeaCTONadavHollander
本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要,包括提供一些web3方面的技术教育。
OpenSea、ConsenSys等加密初创公司的股票纷纷折价出售:金色财经报道,二级市场交易平台 Birel 的 Richard Freemanson 证实,许多私人加密初创公司的股票目前在 Birel.io 上以较大的折扣出售,这些初创公司包括 Alchemy、Blockchain.com、Chainalysis、Kraken、ConsenSys、Blockdaemon、CoinDCX 和 OpenSea。出售的股票规模从 300 万美元到 5000 万美元不等,而且折扣差别很大。其中 Blockchain.com 和 ConsenSys的折扣最大,他们的股票分别以较最新一轮融资折让 74% 和 71% 的价格出售。Chainalysis 股票以 61% 的折扣出售,OpenSea 股票以 51% 的折扣出售,CoinDCX 股票以 47% 的折扣出售。Alchemy、Blockdaemon 和 Kraken 的股票分别折价 31%、30% 和 9%。[2023/3/9 12:50:28]
在审查了这次攻击中的恶意订单之后,可以看出以下一些数据点:
OpenSea已正式推出NFT稀有度开放标准OpenRarity:9月22日消息,OpenSea已正式推出NFT稀有度开放标准OpenRarity,用户已可在NFT项目Cool Cats、Pudgy Penguins、Moonbirds系列中进行查看,创作者现在可以通过导航到他们的设置页面将他们的NFT选择加入OpenRarity。
注,OpenRarity是OpenSea与NFT分析工具Curio、NFT分析平台icy.tools、Moonbirds母公司PROOF合作开发的NFT稀有度开放标准,旨在提供一个透明的、数学上合理的开源稀有度计算,提高NFT稀有度排名的透明度,开发者可以通过API访问OpenRarity分数和排名。[2022/9/22 7:12:51]
所有恶意订单都包含来自受影响用户的有效签名,表明这些用户确实在某个时间点某处签署了这些订单。但是,在签署之后时,这些订单都没有广播到OpenSea。
数据:OpenSea交易额昨日跌至5260万美元:9月13日消息,据Dune Analytics数据显示,NFT市场OpenSea交易额连日走低,9月12日跌至5260万美元 ,较8月29日逾3.2亿美元的峰值跌去逾80%。此前两日交易额分别为6886万美元和9353万美元。尽管如此,9月迄今OpenSea交易额已达13.7亿美元,费用达8561万美元,月活跃交易者近16.6万人,交易数量超60万。[2021/9/13 23:20:25]
没有恶意订单针对新的合约执行,表明所有这些订单都是在OpenSea最新的合约迁移之前签署的,因此不太可能与OpenSea的迁移流程相关。
32名用户的NFT在相对较短的时间内被盗。这是非常不幸的,但这也表明了这是一场有针对性的攻击,而不是OpenSea存在系统性问题。
这些信息,再加上我们与受影响用户的讨论和安全专家的调查,表明由于意识到这些恶意订单即将失效,因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。
在这场网络钓鱼之前,我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。
例如,如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组,您会看到一个引用Wyvern的类型化数据有效负载,如果发生一些不寻常的事情,则会向你发出提醒。
“不要共享助记词或提交未知交易”,这种教育在我们的领域已经变得更加普遍。但是,签署链下消息同样需要同等的思虑。
作为一个社区,我们必须转向使用EIP-712类型数据或其他商定标准)来标准化链下签名。
在这一点上,您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的,但这种更改实际上使订单签署更加安全,因为你可以更好地看到你签的是什么。
此外,强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。
尽管攻击似乎是从OpenSea外部发起的,但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。