上周六,攻击者从OpenSea用户那里偷走了数百个NFT,在该网站的广大用户群中造成了深夜的恐慌。区块链安全服务PeckShield编制的电子表格显示,在攻击过程中,有254个代币被盗,其中包括来自Decentraland和Bored Ape Yacht Club的代币。
大部分的攻击发生在美东时间5点到8点之间,总共针对32个用户。经营博客Web3 is Going Great的Molly White估计,被盗代币的价值超过170万美元。
"他们都有有效的签名"
这次攻击似乎利用了Wyvern协议的灵活性,Wyvern协议是大多数NFT智能合约的开源标准,包括OpenSea上的合约。一种解释(由首席执行官Devin Finzer在Twitter上链接)将攻击分为两部分:首先,目标签署了一个部分合同,其中有一个一般的授权和大部分留空。随着签名的到位,攻击者通过调用他们自己的合同来完成合同,在不付款的情况下转移NFT的所有权。实质上,攻击的目标已经签署了一张空白支票--一旦签署,攻击者就会填写支票的其余部分,以获得他们的持股。
"我检查了每一笔交易,"这位名叫Neso的用户说。"他们都有失去NFTs的人的有效签名,所以任何声称他们没有被钓鱼但失去NFTs的人都是可悲的错误。"
在最近的一轮融资中,OpenSea的估值为130亿美元,它已经成为NFT热潮中最有价值的公司之一,为用户提供了一个简单的界面,可以列出、浏览和竞标代币,而无需直接与区块链互动。这种成功伴随着重大的安全问题,因为该公司一直在与利用旧合约或中毒代币的攻击作斗争,以窃取用户的宝贵资产。
攻击发生时,OpenSea正在更新其合约系统,但OpenSea否认攻击源于新合约。由于目标数量相对较少,这样的漏洞不太可能出现,因为更广泛的平台中的任何缺陷都可能在更大范围内被利用。
但是,这次攻击的许多细节仍然不清楚--特别是攻击者用来让目标签署半空合同的方法。OpenSea首席执行官Devin Finzer在美东时间凌晨3点前在Twitter上写道,这些攻击并非来自OpenSea的网站、其各种列表系统或该公司的任何电子邮件。攻击的速度之快--在几个小时内有数百笔交易--表明有一些共同的攻击媒介,但到目前为止还没有发现任何联系。
"Finzer在Twitter上说:"当我们了解到更多关于网络钓鱼攻击的确切性质时,我们将向您提供最新信息。"如果你有可能有用的具体信息,请DM @opensea_support"。
(7870648)
关键词: OpeaSea被钓鱼攻击 opensea