黑客钓鱼攻击闪袭OpenSea用户

2月19日，全球最大的NFT交易平台OpenSea刚开始支持用户使用新合约，一些用户的NFT资产就被盗了。

次日，OpenSea的CEO Devin Finzer在推特上披露，「这是一种网络钓鱼攻击。我们不相信它与 OpenSea 网站相关联。到目前为止，似乎有 32 个用户签署了来自攻击者的恶意有效载体，他们的一些 NFT 被盗。」Finzer称，攻击者钱包一度通过出售被盗NFT获得了价值170万美元的ETH。

用户NFT被盗后，不少人在推特上猜测，钓鱼攻击的链接可能隐藏在假冒的「OpenSea致用户」邮件中。因为19日当日，该交易平台正在进行一项智能合约升级，用户需要将列表迁移到新的智能合约中。攻击者很可能利用了这次的升级消息，将钓鱼链接伪装成通知邮件。

2月21日，OpenSea的官方推特更新回应称，攻击似乎不是基于电子邮件。截至目前，钓鱼攻击的来源仍在调查中。

报告：2023年一季度通过加密货币黑客窃取的金额低于2022年的任何其他季度:金色财经报道，根据 Chainalysis 今年早些时候的一份报告，2022 年是历史上加密货币黑客攻击最多的一年，估计有 38 亿美元被盗，主要来自 DeFi 协议和与朝鲜有关的攻击者。

然而，这一数字在 2023 年第一季度似乎已大幅减少。根据 TRM Labs 5 月 21 日的一份报告，2023 年第一季度通过加密货币黑客窃取的金额低于 2022 年的任何其他季度。值得注意的是，与去年同期相比，黑客的平均规模下降了近 65%。从 2022 年同一季度的近 3000 万美元增至 1050 万美元。[2023/5/22 15:18:00]

2月18日，OpenSea开始了一项智能合约的升级，以解决平台上的非活跃列表问题。作为合约升级的一部分，所有用户都需要将他们在以太坊上的NFT列表迁移至新的智能合约中，迁移期将持续7天，到美东时间的2月25日下午2点完成，迁移期间，用户NFT在OpenSea上的旧报价将过期失效。

MakerDAO声明：无法控制Oasis，Jump反向攻击黑客不涉及其智能合约:2月25日消息，因Jump Crypto与Oasis联合通过逆向攻击追回12万枚ETH的Wormhole被盗资金，MakerDAO发推特声明，鉴于最近有关 Maker Vault 30100和Oasis前端的交易，需要解释 MakerDAO、Maker 协议和第三方前端提供商之间的区别。MakerDAO 无法控制任何使终端用户能够访问 Maker Vaults 的前端提供商或产品。

此外，连接到 Maker 协议的可用前端都不是由 MakerDAO 开发或维护的Maker 协议是一个去中心化的智能合约系统，公开部署在以太坊上，允许任何供应商以无许可和去中心化的方式连接其用户界面解决方案。这些用户界面提供商可以控制他们部署的智能合约，使终端用户能够与 Maker 协议进行交互。最近更改 Maker Vault 30100 所有权的交易不涉及任何 MakerDAO 的官方智能合约或 MakerDAO 指令。其重申 MakerDAO 的智能合约不受 Oasis 前端智能合约的控制或控制。[2023/2/26 12:29:44]

2月19日，用户需要配合完成的操作开始了。人们没有想到，在忙乱的迁移过程中，黑客的「黑手」伸向了OpenSea用户的钱包里。从用户们在社交平台的反馈看，大部分攻击发生在美东时间下午5点到晚上8点。

黑客组织对保险公司Shirbit进行网络攻击，要求其支付50枚比特币:12月3日消息，黑客组织Black Shadow周二对保险公司Shirbit进行网络攻击，该组织周三在其电报频道上发布消息称，Shirbit需向其比特币钱包发送50枚比特币，否则将泄漏并出售Shirbit的客户和员工的私人信息。其警告说，如果在周四上午9点前不汇款，赎金要求将升至100比特币（1,922,220美元）。如果又过了24小时，要求将上升到200个比特币（3,847,680美元）。（jpost）[2020/12/3 22:58:01]

从后来在以太坊浏览器上被标记为「网络钓鱼/黑客」的地址上看，19日晚18时56分，被盗的资产开始从黑客地址转移，并在2月20日10时30分出现了通过混币工具Tornado Cash「洗币」的操作。

英国法院从黑客手中没收70万美元比特币:5月8日消息，英国法院将在本月对26岁的网络欺诈者Grant West判处一年刑期，并收缴了约70万美元的在2015年赚取的比特币收益。West利用网络钓鱼电子邮件挖掘客户资料，并在各种黑暗的网络市场上出售。 West会将收益转换成比特币。这是英国第一次扣押加密货币，英国的Southwark皇家法院将于5月25日判处Grant West。[2018/5/8]

黑客链上地址的部分动向

用户NFT被盗后，「OpenSea被黑客攻击，价值2亿美元资产被盗」的说法开始在网络上蔓延，人们无从得知失窃案的准确原因，也无法确认到底殃及了多少用户。

直到2月20日，OpenSea的CEO Devin Finzer才在推特上披露，「据我们所知，这是一种网络钓鱼攻击。我们不相信它与 OpenSea 网站相关联。到目前为止，似乎有 32 个用户签署了来自攻击者的恶意有效载体，他们的一些 NFT 被盗。」Finzer 驳斥了「价值2 亿美元的黑客攻击的传言」，并表示攻击者钱包通过出售被盗NFT 获得了价值170?万美元的ETH。

区块链安全审计机构 PeckShield 列出了失窃NFT的数量，共计315个NFT资产被盗，其中有254个属于ERC-721标准的NFT，61个为ERC-1155标准的NFT，涉及的NFT品牌包括知名元宇宙项目Decentraland 的资产和NFT头像「无聊猿」Bored Ape Yacht Club等。该机构还披露，黑客利用Tornado Cash清洗了1100 ETH，按照ETH当时2600美元的价格计算，清洗价值为286万美元。

用户NFT失窃事件发生后，有网友猜测，黑客利用了OpenSea升级的消息，将钓鱼链接伪造成通知用户的邮件，致使用户上当受而点击了危险链接。

对此，Devin Finzer表示，他们确信这是一次网络钓鱼攻击，但不知道钓鱼发生在哪里。根据与32名受影响用户的对话，他们排除了一些可能性：攻击并非源自OpenSea官网链接；与OpenSea电子邮件交互也不是攻击的载体；使用OpenSea 铸造、购买、出售或列出NFT不是攻击的载体；签署新的智能合约（Wyvern 2.3 合约）不是攻击的载体；使用 OpenSea 上的列表迁移工具将列表迁移到新合约上不是攻击的载体；点击官网banner页也不是攻击的载体。

简而言之，Finzer试图说明钓鱼攻击并非来自OpenSea网站的内部。2月21日凌晨，OpenSea官方推特明确表示，攻击似乎不是基于电子邮件。

截至目前，钓鱼攻击到底是从什么链接上传导至用户端的，尚无准确信息。但获得Finzer认同的说法是，攻击者通过钓鱼攻击拿到了用户转移NFT的授权。

推特用户Neso的说法得到了Finzer的转发，该用户称，攻击者让人们签署授权了一个「半有效的 Wyvern 订单」，因为除了攻击者合约和调用数据（calldata）之外，订单基本上是空的，攻击者签署了另一半订单。

该攻击似乎利用了Wyvern 协议的灵活性，这个协议是大多数 NFT 智能合约（包括在 OpenSea上制定合约）的基础开源标准，OpenSea 会在其前端/API上验证订单，以确保用户签署的内容将按预期运行，但这个合约也可以被其他更复杂的订单使用。

按照Neso的说法，首先，用户在Wyvern上授权了部分合约，这是个一般授权，大部分的订单内容都留着空白；然后，攻击者通过调用他们自己的合约来完成订单的剩余部分，如此一来，他们无需付款即可转移 NFT 的所有权。

简单打个比方就是，黑客拿到了用户签名过的「空头支票」后，填上支票的其他内容就搞走了用户的资产。

也有网友认为，在钓鱼攻击的源头上，OpenSea排除了升级过的、新的Wyvern 2.3合约，那么，不排除升级前的、被用户授权过的旧版本合约被黑客利用了。对此说法，OpenSea还未给出回应。

截至目前，OpenSea仍在排查钓鱼攻击的源头。Finzer也提醒不放心的用户，可以在以太坊浏览器的令牌批准检查程序（Ethereum Token Approval）上取消自己的NFT授权。

标签：PENOpenSeaSEAENSOPEN币opensea币价格Ethereum Message SearchCENS币

火币网下载官方app热门资讯