雅加达 - 2月19日星期六,黑客攻击或黑客从OpenSea应用程序中的用户那里窃取了数百个NFT。这次攻击在该网站庞大的用户群中引起了深夜的恐慌。
区块链安全服务PeckShield编制的电子表格统计了在攻击期间被盗的254个代币,其中包括来自Decentraland和Bored Ape Yacht Club的代币。
大多数攻击发生在东部时间东部时间5 p.m.m 8 p之间,总共针对32个用户。运营博客Web3 is Going Great的莫莉·怀特(Molly White)估计,被盗代币的价值超过170万美元。
这次攻击似乎利用了Wyvern协议的灵活性,该协议是大多数NFT智能合约的开源标准,包括基于OpenSea的那些。一种解释(由首席执行官Devin Finzer在Twitter上链接)将攻击分为两部分。
首先,目标公司签署了部分合同,并具有一般授权,并将大部分合同留空。签名到位后,攻击者通过调用自己的合同来完成合同,该合同无需付款即可转移NFT的所有权。
从本质上讲,攻击目标已经签署了一张空白支票,一旦签署,攻击者就会填写其余的支票以占有它们。
"我检查每笔交易,"The Verge引用的熟悉名称Neso的用户说。"他们都有丢失NFT的人的有效签名,所以任何声称他们没有被网络钓鱼但丢失了NFT的人都是错误的。
OpenSea在最近的一轮融资中估值为130亿美元(186.7万亿印尼盾),已成为NFT热潮中最有价值的公司之一。它们为用户提供了一个简单的界面,无需直接与区块链交互即可注册,浏览和竞价代币。
这种成功伴随着严重的安全问题,因为OpenSea一直在努力应对利用遗留合同或有毒代币窃取用户宝贵所有权的攻击。
攻击发生时,OpenSea正在续签其合同系统,但OpenSea否认攻击源于新合同。相对较少的目标数量使得这种漏洞不太可能发生,因为更广泛平台中的任何缺陷都可能被大规模利用。
然而,攻击的许多细节仍然不清楚,特别是攻击者用来让目标签署半空合同的方法。
虽然攻击者在>4小时前停止了,但我们的调查正在进行中。随着我们进一步了解网络钓鱼攻击的确切性质,我们将随时为您提供最新信息。如果您有可能有用的特定信息,请DM@opensea_support。
— Devin Finzer (dfinzer.eth) (@dfinzer) 2022年2月20日
在东部时间凌晨3点前不久.m,OpenSea首席执行官Devin Finzer表示,攻击并非来自OpenSea网站及其各种上市系统,也不是来自该公司的任何电子邮件。快速的攻击速度,在几个小时内完成数百笔交易,表明了一些常见的攻击媒介,但到目前为止还没有发现任何链接。
"随着我们更多地了解网络钓鱼攻击的真实本质,我们将随时为您提供最新信息,"Finzer在Twitter上说。"如果你有可能有用的具体信息,请DM@opensea_support。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
