OpenSea CTO发文回顾钓鱼攻击：外部攻击导致，并非自身系统性问题

作者：OpenSeaCTONadavHollander

2月21日，OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉，这次攻击导致了大约300万美元资产被盗，包括无聊猿，Azuki和CloneX等知名NFT系列。

本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要，包括提供一些web3方面的技术教育。

“绿色比特币联盟”正式成立，“比特币区块算力碳中和应用”同时发布:4月14日消息，在“2023香港Web3嘉年华”主会场《比特币生态：技术与发展》中，万向区块链董事长兼总经理、HashKey Group董事长肖风主持“绿色比特币联盟”成立仪式。同时，HashKey Group联合DePIN项目arkreen发布“比特币区块算力碳中和应用”。[2023/4/14 14:03:38]

在审查了这次攻击中的恶意订单之后，可以看出以下一些数据点：

Optimism第三季度治理基金赠款计划将于1月26日开始:1月4日消息，以太坊二层扩容网络Optimism第三季度治理基金赠款计划将于1月26日开始，本季度建设者委员会与增长实验委员会完全由社区成员和代表组成，旨在最大限度地增加Optimism网络上开发者数量与Optimism网络上应用程序的用户数量。[2023/1/4 9:51:34]

所有恶意订单都包含来自受影响用户的有效签名，表明这些用户确实在某个时间点某处签署了这些订单。但是，在签署之后时，这些订单都没有广播到OpenSea。

海区法院受理全市首例运用区块链存证案件:金色财经报道，海拉尔区法院受理全市首例运用区块链存证的案件。该案为一起金融借款合同纠纷案件，被告哈某向某银行贷款并签订了电子借款合同，在借款合同履行过程哈某无力按期偿还贷款，银行遂向人民法院调解平台申请调解，调解未果后，银行向海拉尔区法院提交了网上立案申请，同时在线提交区块链存证的电子证据。该案从提交、诉前调解、受理、移转全部采用线上办理，实现立案“全流程在线”，切实提高了立案工作效率。

海拉尔区法院持续推进司法区块链技术的应用，为审判执行工作提供更多的智慧支撑，为海区优化法治化营商环境、经济社会高质量发展提供更加有力的司法服务保障。（呼伦贝尔新闻）[2022/4/22 14:41:36]

没有恶意订单针对新的合约执行，表明所有这些订单都是在OpenSea最新的合约迁移之前签署的，因此不太可能与OpenSea的迁移流程相关。

32名用户的NFT在相对较短的时间内被盗。这是非常不幸的，但这也表明了这是一场有针对性的攻击，而不是OpenSea存在系统性问题。

这些信息，再加上我们与受影响用户的讨论和安全专家的调查，表明由于意识到这些恶意订单即将失效，因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。

在这场网络钓鱼之前，我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。

例如，如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组，您会看到一个引用Wyvern的类型化数据有效负载，如果发生一些不寻常的事情，则会向你发出提醒。

“不要共享助记词或提交未知交易”，这种教育在我们的领域已经变得更加普遍。但是，签署链下消息同样需要同等的思虑。

作为一个社区，我们必须转向使用EIP-712类型数据或其他商定标准）来标准化链下签名。

在这一点上，您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的，但这种更改实际上使订单签署更加安全，因为你可以更好地看到你签的是什么。

此外，强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。

尽管攻击似乎是从OpenSea外部发起的，但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。

标签：PENSEAENSOPENPenguin FinanceSeamlessSwapALIENSQUID价格OpenSea

欧易交易所热门资讯