OpenSea遭遇钓鱼攻击 波及资产超170万美元

NFT安全问题再受瞩目

昨晚，有报道称NFT收集者一直在从钱包中丢失NFT和以太坊，OpenSea疑似遭到网络钓鱼攻击瞬间成为大众密切关注的话题。

OpenSea首席执行官Devin Finzer及时对涉嫌网络钓鱼作出回应，本次网络钓鱼攻击波及的资产总额达640 ETH（约合170万美元），相关NFT已经在被标记为“Fake_Phishing5169”的钱包之中。

据链上数据显示，该恶意钱包于去年12月进行了第一笔交易，但网络钓鱼攻击在昨天才开始。此外，该钱包还一直在与另一个被标记为OpenSea网络钓鱼的钱包（标记为“Fake_Phishing5176”）进行交互。

OpenSea Seaport以太坊链上交易量突破1000万笔，交易额超35亿美元:金色财经报道，据Dune Analytics最新数据显示，基于开源NFT协议Seaport的OpenSea以太坊链上总交易量突破1000万笔，截止目前达到10,006,368笔，交易总额约36.47亿美元，独立用户量为1,323,582个。

此外，当前Polygon链上OpenSea Seaport交易额达到约1.7亿美元，过去两个月增幅达到236.4%，交易量已超400万笔。[2023/3/5 12:43:01]

在过去的24小时内，大量来自底价高的收藏的NFT被转移，例如Bored Ape Yacht Club NFT、Cool Cats、Doodles和Azuki NFT。Fake_Phishing5169地址还通过竞争对手NFT市场Rarible和LooksRare进行了交易。

Ethereum、OpenSea、LooksRare位列近30天公链和DAPP收入排行榜前三:金色财经消息，据Tokenterminal数据显示，Dapp和公链在过去30天累计协议收入数据表现差异很大。Ethereum录得5.37亿美元，排名第一。第二位是OpenSea，录得7000万美元。第三名是LooksRare，录得3400万美元。这也意味着，NFT交易平台是行业里最赚钱的应用。更多数据显示，第四被Avalanche夺走，排名第五的项目是钱包Metamask。第六是最近很火的ENS。这也意味着，DeFi项目跌出前五。入围前十的项目有MakerDAO，Curve和Pancakeswap。[2022/5/23 3:34:50]

对于此次事件，OpenSea表示正在进行积极调查。最新消息称，OpenSea官方发推表示，目前这次网络钓鱼攻击还没有调查出确定确切的来源，但想有一些EOD更新：已将受影响的个人名单缩小到17人，而不是之前提到的32人。最初的计数包括与攻击者有过“交互”的任何人，而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃，超过15小时没有恶意合约活动。

OpenDAO将发行3D pfp NFT，铸造和版税利润将用于社区:2月14日，NFT 社区 OpenDAO 的 SOSIP-8 提案「The OpenDAO 20K NFT Collection」以 74.83% 投票赞成率（约 4.5 万亿枚 SOS）通过，OpenDAO 将提供第一个面向社区的集成元宇宙 3D pfp NFT，且铸造和版税的所有利润将重新分配以用于 OpenDAO 社区。[2022/2/14 9:50:04]

OpenBazaar A轮融资募得500万美元 今年或推出新的去中心化交易平台:去中心化的在线市场OpenBazaar背后的开发公司OB1的A轮融资已经募得500万美元。据新闻稿称，此轮融资的投资者包括中国比特币矿业巨头比特大陆和加拿大风险投资公司OMERS Ventures等。该平台今天还宣布，将于本周晚些时候推出经过验证的调解程序。他们今年的计划还包括发布应用的网页版本和移动设备版本，并为用户提供新的交易方式，例如提出请求，购买和出售加密货币。[2018/3/13]

不过Devin Finzer在事情刚发生时就推特上表示，该漏洞可能根本没有袭击OpenSea，到目前为止，似乎有32位用户签署了来自攻击者的恶意有效载荷，并且他们的一些NFT被盗。

简单来说，Devin Finzer猜测人们可能收到了伪造成官方的电子邮件，诱导他们将NFT转移到其他人的钱包中。

此外，Devin Finzer还表示，推特用户Neso的帖子与他对所发生事情的理解一致。

Neso发推解释了技术方面的可能性，Neso表示，丢失资产的人可能签署了一半有效的wyvern订单（这是一个可以执行资产转移的去中心化交易协议），攻击者签署了另一半订单。wyvern合约非常灵活，OpenSea会在其前端/api上验证订单，以确保用户签署的内容将按预期运行，但同样的合约仍然可以被其他人使用，如果人们签署这样更复杂的订单，攻击者就可以拿走得到正式认可的所有东西。

这次攻击恰逢新智能合约Wyvern 2.3（旨在防止不同类型的漏洞利用）的发布，OpenSea当时要求用户迁移他们的列表，不少猜测表示或许与此有关。不过OpenSea的攻击来源依旧没有得到确切的消息，这些猜测也只是猜测，关于后续的故事，仍需继续等待OpenSea的调查结果。

有趣的是，此次事件中攻击者的交易操作着实让很多人摸不着头脑。

比如为什么网络钓鱼者在拿走他的一些资产后选择归还部分资产？

再比如，为什么归还部分资产之后向naterivers.eth发送了50个以太坊（约13万美元）？

......

是良心发现还是耀武扬威？恐怕这些谜之操作，也只有攻击者自己知道。

最后，为了防止NFT和以太币的丢失，最好通过Etherscan的代币批准功能撤销访问权限，最好将资产转移到硬件钱包中。

Etherscan的代币批准功能链接如下：

https://etherscan.io/tokenapprovalchecker

作者：Corn

标签：PENOPENSEANFTBOpenSeaopen币团队SEAH价格SBLAND Vault (NFTX)

DOT热门资讯