一、OpenSea事件描述
近日,OpenSea首席执行官Devin Finzer在一条推文表示:"到目前为止,有32个用户签署了来自攻击者的入侵,他们的一些NFT被盗。"并暗示可能是一个欺诈性网站造成的。
"我们正在积极调查与OpenSea相关的智能合约的漏洞传闻,这似乎是源于OpenSea网站之外的钓鱼攻击。请不要点击opensea.io以外的链接。"
SharkTeam第一时间对此事件进行了攻击技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
Sam Altman领投的Context旗下NFT铸造聚合器开放通行证铸造:4月13日消息,据官方消息,Web3 钱包追踪应用 Context 推出的 NFT 铸造聚合器 mint.fun 已开放通行证铸造。用户可在其官网免费铸造 !fundrop 通行证并通过后续交互获取积分。
此前报道,去年 4 月,Context 宣布完成 1950 万美元种子轮融资,Variant Fund 和 OpenAI 首席执行官 Sam Altman 领投,Dragonfly Capital 等参投。[2023/4/13 14:01:30]
二、OpenSea事件攻击原理分析
攻击者账户(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74
攻击合约(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd
过去24小时NFT平台Blur交易额近1400万美元,超过OpenSea:金色财经报道,据NFT交易数据显示,过去24小时新晋NFT平台Blur交易额达到1386万美元,涨幅达到339.84%,也是过去24小时交易额最高的NFT平台。相比之下OpenSea同期交易额为686万美元,下降2.81%,排名第二;X2Y2、Magic Eden和LooksRare分列三到五名,交易额分别为247万美元(上涨48.42%)、187万美元(下降9.38%)和137万美元(上涨111.27%)。[2022/12/11 21:36:57]
1. 创建攻击合约
交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779
ARK基金创始人:推特可能会在NFT中发挥更大的作用:12月9日消息,ARK基金创始人Cathie Wood表示,各机构正在转向加密货币。倾向于赞同埃隆·马斯克的观点。机构投资者转向比特币的举动可能会让比特币的价值增加50万美元。推特可能会在NFT中发挥更大的作用。(金十)[2021/12/9 7:29:00]
2. 发起攻击
以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad为例,
德国乐队Rammstein未经授权发布包含俄罗斯Hermitage博物馆图像的NFT系列:德国金属乐队Rammstein的主唱Till Lindemann因一项加密计划激怒了俄罗斯著名的Hermitage博物馆。据称,Lindemann在未经授权的情况下创建了包含该博物馆内拍摄镜头和图像的NFT作品并试图拍卖,一共有五款NFT,其中最贵的标价为10万欧元。据悉,该NFT系列包含了Lindemann在5月份拍摄的表演俄罗斯著名爱国民谣“Beloved Town”的视频剪辑。Hermitage博物馆允许其录制这段视频,作为2020年8月开始的俄罗斯联邦德国年的一部分。博物馆已向Lindemann发出警告,称他的NFT项目违反了博物馆的许可政策。目前还没有收到这位德国歌手的回应,而这些NFT代币已经在网上出售。(Bitcoin.com)[2021/8/15 22:15:19]
执行过程如下:
WyvernExchange合约atomicMatch函数如下:
其中,订单签名校验requireValidOrder函数如下:
函数中包含了挂单授权(签名)的校验,因此,攻击者发起攻击交易,将NFT从原来持有者账户(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 记为0xf2d2)转账到攻击者账户,需要获取到账户0xf2d2的授权(签名)。
攻击者要想获取到其他账户的签名,可以通过以下方法:
(1)获得账户的私钥
(2)签名重放攻击
(3)通过网络钓鱼等方式获取用户的私钥或者签名。
这里,攻击者明显并没有获取到账户0xf2d2的私钥,而且函数中有防止签名重放的措施:
另外,也没有从交易中发现签名重放攻击。
因此,我们分析,被攻击的用户意外签署了来自攻击者的恶意交易,攻击者获得了用户的挂单授权,然后利用该授权签名窃取了用户的NFT。综上所述,我们认为此次攻击事件是由链下的网络钓鱼攻击引起的,而不是链上合约代码漏洞造成的。
三、X2Y2安全事件
无独有偶,2022年2月18日,大V账号(DiscusFish)在Twitter上面指出,NFT交易平台X2Y2上面NFT挂单挖矿存在风险。
此外,还指出X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约,升级权限(proxyAdmin的owner)是官方单地址,理论上存在官方通过升级合约,然后转走用户NFT的可能。
X2X2团队针对可升级合约的漏洞,采用多签钱包和时间锁对合约进行了修复:
四、安全建议
OpenSea被攻击事件属于网络钓鱼攻击,而X2Y2的问题在于合约漏洞。鉴于此,我们提出以下建议:
1.项目方在开发过程中,要保证业务逻辑以及合约代码的严谨性,选择多家知名负责的审计公司进行多伦审计。
2. 项目参与者在涉足区块链项目时请提高警惕,尽可能选择更稳定、更安全,且经过完备多轮审计的公链和项目,在发起交易、签名授权时要谨慎,尽可能地只通过官方指定的网站参与投资。
一直以来我们都在强调NFT的独特性与对创作者的权益保障。随着NFT数字艺术市场的热度上升,一些被利益驱动的投机者盯上还未被上链的艺术作品,而这些艺术品的创作者却对此一无所知.
1900/1/1 0:00:00PFP NFT (个人资料图片NFT)是一组独特的数字收藏品,人们用来在互联网平台上代表自己。这些数字艺术作品通常是一系列可作为头像的角色,在 Twitter、Instagram、Facebook 等社交媒体账户上用作个人资料图片,有.
1900/1/1 0:00:00公平启动是目前DeFi最热门的趋势,但缺乏一致性的激励措施可能意味着该行业正在以真正的创新为代价来换取短期利益。你很难相信不到Sushi是在一个月前推出的.
1900/1/1 0:00:00本文由”老雅痞laoyapicom“授权转载自2021年以来,用户对NFT的认识一直在加深,与整个加密货币市场平行的几个繁荣和萧条周期正在进行.
1900/1/1 0:00:00在90年代初,黑胶,磁带,CD等一系列实体音乐专辑才是音乐展示的最佳途径,人们可以拥有自己喜爱的歌曲实体版.
1900/1/1 0:00:00策展是一个热门话题,而且不仅仅是针对NFT的。《你不是策展人,你其实只是一个庸俗的博客》是Choire Sicha在2012年关于Tumblr和社交媒体上策展影响者崛起的文章标题.
1900/1/1 0:00:00