OpenSea:“OpenSea漏洞事件”致使大量NFT被窃取,多方分析疑为网络钓鱼攻击

2月20日上午,“OpenSea新迁移合约疑似出现bug导致大量高价值NFT被窃取”一事引发热议。

据多个推特KOL反映称,该事件起因是OpenSea昨日推出的新迁移合约疑似出现BUG,攻击者利用该BUG窃取大量NFT并卖出套利,失窃NFT涵盖BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多种高价值系列。

新迁移合约,是OpenSea发布的一项新升级。昨日,OpenSea宣布其智能合约升级已完成,新的智能合约已经上线,用户迁移智能合约需签署挂单迁移请求,签署此请求不需要Gas费,无需重新进行NFT审批或初始化钱包。在迁移期间,旧智能合约上的报价将失效。英式拍卖将于合约升级完成后暂时禁用几个小时,新合约生效后,可以再次创建新的定时拍卖。现有智能合约的荷兰式拍卖将于北京时间2月26日3时在迁移期结束时到期。

LINK巨鲸“Oldwhite”使用超过150个钱包来规避质押限制 共质押超100万枚LINK:金色财经报道,链上数据显示,OpenSea上标记为 \"Oldwhite \"的加密货币钱包与超过100万个抵押的LINK代币相关联,Chainlink官方通过将每个钱包地址限制在7000个LINK代币,以 促进更大的包容性,并减少少数参与者在早期阶段主导该质押池的风险。

Chainlink社区大使ChainLinkGod.eth在12月8日的推文中承认,没有完美的解决方案可以100%防止鲸鱼在没有交易的情况下进行抵押。(Coindesk)[2022/12/13 21:40:33]

推特KOL“Jon_HQ”在推文中指出,攻击者总共花费了750美元的gas费,没有支付ETH购买,但获得了4个Azukis、2个Coolmans、2个Doodles、2个KaijuKings、1个MAYC、1个CoolCat、1个BAYC……

LTC基金会宣布推出代币创建平台“OmniLite”:9月8日消息,官方消息,LTC基金会宣布推出去中心化的代币创建平台“OmniLite”,为LTC网络引入智能合约、DAO、代币化资产以及NFT功能。据介绍,OmniLite是建立在LTC区块链之上的分层协议,通过OmniLite创建的代币可以被认为是LTC的扩展,因此,这些代币的交易记录在其区块链上。[2021/9/8 23:09:03]

BiKi成为“OpenBox联盟”首批合作伙伴:据官方消息,近日DeFiBox宣布发起成立“OpenBox联盟”,BiKi成为首批联盟伙伴。

该联盟由DeFiBox.com发起成立,由DeFi钱包、交易所、挖矿平台等DeFi生态伙伴共同组成。BiKi未来将与各位伙伴共同推进 DeFi生态系统发展。

BiKi是一家全球性的数字资产交易服务和区块链技术提供商,旗下包括币币、合约、网格、杠杆、余币宝、抵押借贷、ETF、流动性挖矿等业务。[2021/4/29 21:11:18]

Mr.Whale也在推特上表示,Opensea“漏洞利用”可以允许用户出售、窃取任何用户的任何NFT,损失已超过2亿美元。

HyperPay成为首批DeFiBox“OpenBox联盟”伙伴:据官方消息,近日,DeFiBox宣布发起成立“OpenBox联盟”,HyperPay成为首批联盟伙伴。该联盟由DeFiBox.com发起成立,由DeFi钱包、交易所、挖矿平台等DeFi生态伙伴共同组成,旨在共同推进 DeFi生态系统发展。

HyperPay成立于2017年,是全球首款集托管理财钱包、去中心化自管钱包、HyperMate硬件钱包、共管钱包于一体的多生态数字资产钱包,为用户提供资产存管、理财增值、消费支付等一站式服务。迄今,用户逾百万,资管规模超10亿美元,转账超3.1亿次。[2021/4/29 21:10:57]

随后,就在众人热议之际,“OpenSea事件”的发展出现了转折,攻击似乎并非BUG导致。

gmDAO创始人Cyphr.ETH发推表示,黑客使用了标准网络钓鱼电子邮件复制了几天前发生的“正版OpenSea”电子邮件,然后让一些用户使用WyvernExchange签署权限。OpenSea未出现漏洞,只是人们没有像往常一样阅读签名权限。

安全公司PeckShield也表示,虽然未经证实,但Opensea黑客很可能是网络钓鱼。用户按照网络钓鱼邮件中的指示授权“迁移”,而这种授权很不幸地允许黑客窃取有价值的NFTs……

以太坊智能合约编程语言Solidity的开发者foobar则分析称?,黑客使用30天前部署的一个助手合约,调用4年前部署的一个操作系统合约,使用有效的atomicMatch()数据。这可能是几个星期前的典型网络钓鱼攻击。而不是智能合约漏洞,代码是安全的。

截止目前,OpenSea官方已针对此事展开调查,并发布推特回应称?:“我们正在积极调查与OpenSea智能合约有关的传闻。这看起来像是来自OpenSea网站外部的网络钓鱼攻击。不要点击http://opensea.io之外的任何链接。”

根据多位推特KOL和官方声明,本次漏洞事件原因基本上应该是外部网络钓鱼攻击所致。但是也出现了一些不同的声音。

譬如,OracleHawk首席执行官JacobKing就在推特上发了一张代码截图并认为?:“OpenSea现在撒谎并声称该漏洞实际上只是人们收到的网络钓鱼电子邮件。这100%不是真的,而是他们代码中的一个缺陷导致了历史上最大的NFT漏洞利用之一。”

此次漏洞事件最终原因是什么,我们仍需等待OpenSea的调查结果。巴比特持续关注中。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-1:2ms