OpenSea CTO发布钓鱼攻击技术概要：外部攻击导致，并非OpenSea系统性问题

2月21日，OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉，这次攻击导致了大约300万美元资产被盗，包括无聊猿，Azuki和CloneX等知名NFT系列。作者：OpenSeaCTONadavHollander

本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要，包括提供一些web3方面的技术教育。

去中心化稳定币开发公司Gyroscope完成450万美元种子轮融资:金色财经报道，去中心化稳定币开发公司Gyroscope完成450万美元种子轮融资，Placeholder和Galaxy共同领投，Maven 11、Archetype、Robot Ventures、Balancer Labs联合创始人兼首席执行官Fernando Martinelli等参投。

联合创始人Lewis Gudgeon表示，该轮融资于2022年1月结束，但Gyroscope现在将其公开，因为该协议的代码库已基本完成，并且正在为全面启动做准备。Gyroscope的稳定币，称为gyro dollar，代号为GYD，是非托管的，旨在完全由储备支持。[2023/3/9 12:52:33]

在审查了这次攻击中的恶意订单之后，可以看出以下一些数据点：

电竞选手Mongraal已将“吉米钥匙”上架OpenSea，售价2222 ETH:2月16日消息，BAYC官方确认知名电竞选手及主播@Mongraal在Dookey Dash游戏中获得“猴子吉米钥匙”后，@Mongraal已将该NFT Sewer Pass #21915以2,222 ETH的价格在OpenSea上架，按照当前价格计算超过370万美元。

BAYC成员及Mutant Cartel创始人Lior.eth在社交媒体评论称，对于这个热门NFT系列中的顶级资产来说，这个价格看似合理。另据OpenSea的报价数据显示，截至目前对该NFT的最高报价是222 WETH。[2023/2/16 12:10:54]

所有恶意订单都包含来自受影响用户的有效签名，表明这些用户确实在某个时间点某处签署了这些订单。但是，在签署之后时，这些订单都没有广播到OpenSea。

全聚合协议OpenOcean与波卡跨链交易网络Zenlink达成战略合作:3月11日消息，全聚合协议OpenOcean与基于Polkadot的跨链去中心化交易网络Zenlink达成战略合作，OpenOcean将聚合Zenlink DEX，为用户提供波卡生态相关资产的便捷交易入口。此外，Zenlink与OpenOcean均是具备跨链属性的协议，双方达成合作意在共同探索多链聚合技术的可能性。

Zenlink是基于波卡的跨链DEX协议，目前已完成两个Web3基金会Grant的交付，并即将在卡槽拍卖期间发布测试网。与Zenlink的战略合作是OpenOcean向波卡生态聚合迈进的第一步。[2021/3/11 18:35:18]

没有恶意订单针对新的合约执行，表明所有这些订单都是在OpenSea最新的合约迁移之前签署的，因此不太可能与OpenSea的迁移流程相关。

32名用户的NFT在相对较短的时间内被盗。这是非常不幸的，但这也表明了这是一场有针对性的攻击，而不是OpenSea存在系统性问题。

这些信息，再加上我们与受影响用户的讨论和安全专家的调查，表明由于意识到这些恶意订单即将失效，因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。

在这场网络钓鱼之前，我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。

例如，如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组，您会看到一个引用Wyvern的类型化数据有效负载，如果发生一些不寻常的事情，则会向你发出提醒。

“不要共享助记词或提交未知交易”，这种教育在我们的领域已经变得更加普遍。但是，签署链下消息同样需要同等的思虑。

作为一个社区，我们必须转向使用EIP-712类型数据或其他商定标准）来标准化链下签名。

在这一点上，您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的，但这种更改实际上使订单签署更加安全，因为你可以更好地看到你签的是什么。

此外，强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。

尽管攻击似乎是从OpenSea外部发起的，但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。

标签：PENOPENENSSEAThrupennyOPENX币SENSIOpenSea

PEPE币热门资讯