Opensea被攻擊始末，如何保護(hù)自己的NFT

據(jù)報(bào)道，Opensea的智能合約被一名黑客利用，該黑客目前已從32名交易者那里抽走了超過170萬美元的資金和數(shù)十個(gè)有價(jià)值的NFT。

Opensea在推特上承認(rèn)了這一漏洞，并表示這一漏洞似乎是一種網(wǎng)絡(luò)釣魚攻擊，它導(dǎo)致一些用戶在攻擊者那里簽署了一個(gè)惡意負(fù)載，從而使攻擊者有權(quán)從用戶的錢包中竊取 NFT。

考慮到Opensea上此前發(fā)布了一個(gè)新的交易所智能合約版本，以修補(bǔ)其平臺(tái)上舊的、不活躍的NFT列表上漏洞，此次攻擊的時(shí)機(jī)是經(jīng)過精心策劃的。

一些交易者表示，他們收到了一封疑似來自O(shè)pensea的網(wǎng)絡(luò)釣魚郵件，要求他們遷移到新的合約。

OpenSea 官方定義此次為 “phishing attack”（釣魚攻擊）。

還是寫一篇文章來復(fù)盤一下近來 OpenSea 用戶被盜事件，算是對(duì)更多用戶的提醒吧。

??Opensea被攻擊事件進(jìn)展

▲ 2月20日

1、OpenSea新遷移合約出現(xiàn)bug，攻擊者竊取大量NFT并賣出套利。

2、官方提醒:這看起來像是來自O(shè)penSea網(wǎng)站外部的網(wǎng)絡(luò)釣魚攻擊，不要點(diǎn)擊 opensea.io之外的任何鏈接。

3、OpenSea CEO:目前有32位用戶NFT被盜，部分NFT已退還。

▲ 2月21日

1、本次網(wǎng)絡(luò)釣魚攻擊波及32名用戶的640 ETH(約合 170 萬美元)資產(chǎn)。

2、Opensea CTO:本次攻擊與OpenSea的遷移問題相關(guān)可能性較小。有證據(jù)表明這是有針對(duì)性的攻擊，并不是系統(tǒng)性問題。

3、受影響的個(gè)人名單縮小到17人。

▲ 2月22日

1、一位BAYC所有者稱，黑客通過OpenSea非活躍上架漏洞，利用以0.01 ETH 購(gòu)買了他的 BAYC，他對(duì)OpenSea提起訴訟，要求賠償超100萬美元或歸還BAYC#3475。

2、已排除合約遷移工具是攻擊載體的可能性，OpenSea.io簽名安全。

?? 如何攻擊

黑客首先知道了 OpenSea 需要用戶對(duì)其賣單進(jìn)行遷移，并且知道 OpenSea 官方提前發(fā)出了遷移日期和操作步驟的郵件。

黑客提前做好了釣魚網(wǎng)站，并且通過偽造的郵件通知用戶進(jìn)行遷移操作，引導(dǎo)受害用戶在該釣魚網(wǎng)站上進(jìn)行賣單遷移操作。這個(gè)遷移操作就是讓用戶對(duì)其銷售的賣單進(jìn)行簽名，然而簽名的賣單價(jià)格是0。

黑客拿到用戶簽了名的賣單信息，通過調(diào)用 OpenSea 的交易合約就能以 0 的價(jià)格完成交易，順利拿到受害者的 NFT。

??如何保護(hù)

1、選擇硬件錢包保存NFT是最保險(xiǎn)的方式。

2、不要點(diǎn)擊未經(jīng)驗(yàn)證的鏈接，不要點(diǎn)擊由未知來源發(fā)送的隨機(jī)鏈接或損壞的鏈接。

3、仔細(xì)檢查域名鏈接，以防進(jìn)入虛假頁面。

4.不要共享屏幕。

5.不要泄露自己的助記詞，不要用手機(jī)電腦記錄助記詞。

6.如需要幫助，求助官方網(wǎng)站而不是社交媒體。

7.通過區(qū)塊鏈游覽器撤銷對(duì)交易平臺(tái)合約的批準(zhǔn)。

部分內(nèi)容來源于網(wǎng)絡(luò)資料

編?|Black ??審?| 林蛋殼

聲明：投資有風(fēng)險(xiǎn)，入市須謹(jǐn)慎。本資訊不作為投資理財(cái)建議。