SEA:針對Opensea的釣魚攻擊，嚇壞了早起的NFT玩家_OpenSea

今晨，關于OpenSea疑似出現bug一事引發了大量關注與熱議。

事件起因為，多位用戶今晨于推特發布警告稱，OpenSea昨日推出的新遷移合約疑似出現bug，攻擊者正利用該bug竊取大量NFT并賣出套利。

Nexo聯合創始人Antoni Trenchev否認針對該公司的指控:金色財經報道，針對Nexo位于保加利亞索非亞辦公室遭到大規模突襲并受到調查，Nexo聯合創始人Antoni Trenchev在最新采訪中否認了針對該公司的指控。Antoni Trenchev表示，其錢包開發耗時數月，涉及很多不確定性和決策制定，該團隊決定專注于創建一個利用智能合約的智能錢包，他們還決定讓錢包成為非托管的，因為他們認為用戶應該可以完全訪問自己的密鑰。根據Antoni Taskova的說法，Nexo錢包的主要區別之一是智能錢包和非托管錢包的結合，其智能合約功能允許更大的靈活性和在區塊鏈技術之上創建新的和創新的解決方案，非托管功能則允許用戶完全控制自己的密鑰和代幣。（cryptoslate）[2023/1/15 11:12:43]

從攻擊者錢包的截圖來看，當前失竊NFT涵蓋BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多種高價值系列，其中部分已以地板價賣出，但也有一部分已原路轉回失竊地址。所謂遷移合約，來自于OpenSea昨日發布的一項新升級。昨日，OpenSea宣布其智能合約升級已完成，新的智能合約已經上線，用戶遷移智能合約需簽署掛單遷移請求，簽署此請求不需要Gas費，無需重新進行NFT審批或初始化錢包。在遷移期間，舊智能合約上的報價將失效。英式拍賣將于合約升級完成后暫時禁用幾個小時，新合約生效后，可以再次創建新的定時拍賣。現有智能合約的荷蘭式拍賣將于北京時間2月26日3時在遷移期結束時到期。事件發生后，OpenSea于官方推特回應稱：“我們正在積極調查與OpenSea智能合同有關的傳聞。這看起來像是來自OpenSea網站外部的網絡釣魚攻擊。不要點擊http://opensea.io之外的任何鏈接。”Alchemix、Sushiswap貢獻者，推特用戶@0xfoobar在事件發生后也于推特發布了關于此事的個人調查。@0xfoobar稱，黑客系使用30天前部署的輔助程序合約來調用4年前部署的OpenSea合約，該輔助合約同樣具有有效的atomicmatch()數據，這可能是起于幾個星期前的一場釣魚攻擊，黑客正趕著在所有掛單過期之前進行攻擊。

Compound總法律顧問：針對Ripple的訴訟由高層官員推動:Compound總法律顧問Jake Chervinsky表示，SEC對Ripple提起訴訟的動機是高層官員。此外，Jay Clayton的卸任對Ripple有利的可能性非常小。Chervinsky暗示，SEC四名委員一致同意對Ripple提起訴訟。值得注意的是，SEC專員Hester Peirce，也被稱為“加密媽媽”，自訴訟提起以來一直保持沉默。（Crypto News Flash）[2020/12/29 16:00:04]

ConsenSys發布博客介紹針對機構staking的以太坊2.0客戶端Teku:ConsenSys發布博客介紹以太坊2.0客戶端Teku，稱其是一個滿足機構用戶staking需求的完整的以太坊2.0客戶端，也是唯一一家由ConsenSys全面支持的客戶端，這意味著沒有從以太坊基金會獲得任何資金支持。Teku與ConsenSys另一個開源項目Web3Signer，可為機構staking提供遠程密鑰簽名和slashing保護服務，以最大化安全性。ConsenSys的多款Eth2產品均基于Teku構建，Infura一直在生產級環境中運行Teku，以支持其Eth2BeaconChainAPI服務；即將推出的CodefiStaking將主要依靠Teku作為其白標平臺來管理Eth2托管基礎設施。[2020/10/19]

@0xfoobar進一步分析稱，此事與OpenSea新遷移合約唯一的關系是，由于OpenSea智能合約升級后所有的歷史掛單都將在6天內到期，這其中也包含了所有來自已被釣魚攻破的地址的掛單，所以黑客不得不立即采取行動。換句話說，這是一場釣魚攻擊，而非一場通用智能合約漏洞，OpenSea的合約并沒有出現問題。

聲音 | 經濟參考報：針對區塊鏈等的17項金融行業標準已經立項，正在加緊研究制定:11月27日，經濟參考報刊發題為“金融監管發力補短板 多項政策細則將出”的文章。文章表示，該報獲悉，多部門正密集謀劃一攬子舉措，加碼重點領域金融風險防范，全面清理整頓金融秩序。新政涉及中小銀行、互聯網金融、數字金融等領域。將制定高風險金融機構風險處置的相關文件，對高風險機構實行“名單制”管理。此外，針對新興的數字金融熱點領域，人工智能、區塊鏈、大數據、云計算等17項金融行業標準已經立項，正在加緊研究制定。央行副行長范一飛近日表示，金融標準建設迫切需要在重點領域補齊短板，順應大數據、區塊鏈等在金融業應用的發展態勢，注重數據安全。[2019/11/27]

@0xfoobar的分析與其他一些大V不謀而合，gmDAO創始人Cyphr.ETH發推稱，黑客使用了標準網絡釣魚電子郵件復制了幾天前發出的正版OpenSea電子郵件，然后讓一些用戶使用WyvernExchange簽署權限。OpenSea未出現漏洞，只是人們沒有像往常一樣閱讀簽名權限。

至此，本次安全事件的原因已基本清晰，受影響群體為曾點擊過上述郵件并簽署了權限的用戶，出于安全起見，建議這些用戶暫時撤銷OpenSea的所有授權。可用的合約授權簽署工具包括https://revoke.cash/或https://zapper.fi/revoke或https://etherscan.io/tokenapprovalchecker或https://approved.zone/或https://tac.dappstar.io/#/，部分網站可能因當前訪問量過大無法打開，可以多試試。

Tags：ENSSEAOpenSeaOPENAENSsea幣發行數量opensea幣單個價格OpenLive NFT

PEPE