2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。
次日,OpenSea的CEO Devin Finzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。
用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。
2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。
跨鏈橋Wormhole向白帽黑客satya0x支付1000萬美元漏洞賞金:金色財經消息,跨鏈橋Wormhole今日發布博客表示,在2月24日,化名satya0x的白帽黑客披露了以太坊Wormhole核心橋接合約中的一個嚴重漏洞,這個錯誤是一個可升級的代理實現自毀錯誤,有助于防止潛在的用戶資金鎖定。
Wormhole在報告的同一天驗證并修復了問題,沒有任何用戶資金損失。為此,Wormhole向satya0x支付了創紀錄的1000萬美元的漏洞賞金。[2022/5/21 3:31:33]
2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。
慢霧安全提醒:近期有黑客團伙進行釣魚攻擊 目前已經有部分交易平臺遭受攻擊:據慢霧區伙伴無極實驗室消息,近期有黑客團伙利用 Windows10 的 IE11/Edge Legacy 和 MS Teams 結合 ms-officecmd 的遠程代碼漏洞進行釣魚攻擊,攻擊者通過構造惡意的 exploit 的鏈接發送給交易平臺的內部人員,并誘導內部人員點擊惡意的鏈接,從而控制內部人員的電腦,來實施對交易平臺的盜幣攻擊。目前已經有部分交易平臺遭受攻擊,請自查是否有訪問過如下的鏈接或 IP 地址。
攻擊者相關信息:
鏈接: https://giantblock[.]org,https://financialtimes365[.]com
C&C: plusinfo24[.]com
IP 地址: 162.213.253.56[2022/2/11 9:45:23]
2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。
動態 | 黑客繼續向某eos 競猜游戲發起攻擊并已獲利數百:據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,今日早晨9:13開始,近期活躍的黑客ju****ang繼續向eos競猜游戲發起攻擊,已獲利數百。經過成都鏈安技術團隊的初步分析,攻擊者使用的是交易阻塞的方式發起攻擊。成都鏈安提醒各項目方加強安全防范,必要時采取相關安全措施,聯系安全公司,以避免造成不必要的資產損失。[2019/6/18]
從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具Tornado Cash「洗幣」的操作。
聲音 | 聯合國專家小組:朝鮮黑客大量竊取加密貨幣 涉及資金超5億美元:據日經亞洲評論消息,據聯合國安理會的一個專家小組稱,朝鮮利用網絡攻擊和區塊鏈技術規避經濟制裁,獲取外匯和加密貨幣。該小組對安理會表示,朝鮮通過網絡盜竊方式已經積累了大約6.7億美元的外匯和虛擬貨幣,并使用區塊鏈技術來掩蓋其蹤跡。專家小組同時表示,虛擬貨幣存在多次洗錢的可能,因此會變得更難追蹤,且不受政府監管。該小組估計,2017年1月至2018年9月期間,朝鮮已至少對亞洲的加密貨幣交易所發起了五次攻擊,其損失總額高達5.71億美元。[2019/3/8]
黑客鏈上地址的部分動向
用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。
直到2月20日,OpenSea的CEO Devin Finzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer 駁斥了「價值2 億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT 獲得了價值170?萬美元的ETH。
區塊鏈安全審計機構 PeckShield 列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland 的資產和NFT頭像「無聊猿」Bored Ape Yacht Club等。該機構還披露,黑客利用Tornado Cash清洗了1100 ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。
用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。
對此,Devin Finzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea 鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約(Wyvern 2.3 合約)不是攻擊的載體;使用 OpenSea 上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。
簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。
截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。
推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的 Wyvern 訂單」,因為除了攻擊者合約和調用數據(calldata)之外,訂單基本上是空的,攻擊者簽署了另一半訂單。
該攻擊似乎利用了Wyvern 協議的靈活性,這個協議是大多數 NFT 智能合約(包括在 OpenSea上制定合約)的基礎開源標準,OpenSea 會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。
按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移 NFT 的所有權。
簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。
也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern 2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。
截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序(Ethereum Token Approval)上取消自己的NFT授權。
Tags:ENSOPENOpenSeaPENTenSpeed.FinanceOpenStream Worldopensea幣單個價格PENG
如果你是一個游戲玩家,上面的圖片可能觸發了你美好的回憶。GTA圣安地列斯對我們這一代人來說幾乎是治愈性的,因為它有助于釋放課后煩擾.
1900/1/1 0:00:00我們大多數人進入加密貨幣是為了賺錢。但除了持有或交易之外,還有什么其他選擇可以從加密貨幣中獲利呢?以下是使用區塊鏈技術賺錢的 10 種新舊方式,從易到難排列.
1900/1/1 0:00:00美國對伊朗制裁的經驗表明,這樣做并不能真正把俄羅斯踢出國際金融體系,處罰那些幫助被制裁實體的金融機構要有效得多.
1900/1/1 0:00:00在本文中,我們將介紹5個MetaMask替代品,它們可以用于跨以太坊和其他區塊鏈的DeFi。MetaMask在全球擁有數百萬用戶,是以太坊和其他區塊鏈上與dapp交互的最受歡迎的Web3錢包.
1900/1/1 0:00:00根據 2021 年為CNBC和 Acorns進行的一項調查,在數字和傳統投資方面,女性的投資都比男性少,男性的投資是女性的兩倍:加密貨幣(男性 16% ,女性 7%)、交易所(男性 14%.
1900/1/1 0:00:00當你聽到 "NFT "這個詞時,你首先想到的是什么?你們中的一些人可能會想起某些人的名字,他們在出售NFT藏品后一夜之間成為千萬富翁.
1900/1/1 0:00:00