以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > UNI > Info

OpenSea釣魚攻擊事件啟示:警惕三個安全教訓_WEB

Author:

Time:1900/1/1 0:00:00

原文作者:DanielChong,Harpie聯合創始人

原文編譯:楊樹

2月19日,攻擊者使用了看似「毫無技巧」的電子郵件網絡釣魚攻擊,成功從一名?OpenSea?用戶手中盜走了254個?NFT,其中包含價值不菲的?Decentraland?和BoredApeYachtClub系列藏品。這位用戶收到了偽造的電子郵件并被要求批準智能合約,而在用戶批準了合約之后,黑客順利地從被釣魚用戶的錢包中提走了NFT。

發送給用戶的仿冒網站電子郵件

到目前為止,網絡釣魚是人們在Web2和Web3中損失資金的最常見方式,不過在Web3中,由于智能合約的額外風險點,所以問題更嚴重。

Sui基金會為表彰早期貢獻者設立Builder Hero Award獎項:2月8日消息,Sui基金會宣布設立Builder Hero Award,旨在表彰早期為Sui生態系統做出貢獻的社區成員,包括在Devnet上構建原型和產品、構建開發工具、幫助教育其他構建者的貢獻者。

SuiNetwork將在2月17日公布獲獎者并單獨聯系已發放獎品,最多將有15個獲獎者,獎品包括一次性現金獎勵、Sui Builder House邀請函和Sui禮品。[2023/2/8 11:54:26]

我們必須從OpenSea網絡釣魚攻擊中吸取三個主要的安全教訓,以便對未來的攻擊保持警惕。

比特幣第四大巨鯨今日減持13816枚BTC:金色財經報道,BitInfoChart數據顯示,比特幣巨鯨(1LQoWist8KkaUXSPKZHNvEyfrEkPHzSsCd)今日凌晨通過5筆交易共減持約13816枚BTC。當前該鯨魚地址余額為124348.40 BTC,持有量排名從第三跌至第四。[2022/12/20 21:55:54]

1.通過智能合約竊取加密貨幣容易

大多數?DeFi?協議使用的經典Approval合約

「Approval」幾乎是所有基于智能合約的代幣的功能,當用戶「Approval」另一個錢包時,就意味著允許該錢包稍后從用戶自己的錢包中轉移代幣。例如,如果我「Approval」我「0x123」錢包的?USDC?和無聊猿NFT,那「0x123」就可以將這些代幣轉出。

法庭文件顯示FTX新任CEO的時薪為1300美元:11月21日消息,根據Watcher.Guru引援11月19日提交給美國特拉華州破產法院的文件,FTX新任首席執行官John J. Ray III的時薪為1300美元。

文件中寫道:“John J. Ray III的的服務是根據Owl Hill Advisory, LLC與債務人之間的約定書(首席執行官約定書)保留的。根據首席執行官約定書的條款,Owl Hill將提供Ray作為債務人的首席執行官的服務,但Ray先生仍將是Owl Hill的員工。根據CEO約定書,債務人將支付當前每小時1300美元的費用……”[2022/11/21 22:11:28]

大多數DeFi協議都使用「Approval」作為將資產轉移到協議的主要方法。

NFT租賃市場Playdex獲200萬美元種子輪融資,PDAX、OrangeDAO等領投:6月2日消息,加密錢包服務商Coins.ph的創始人推出的NFT租賃市場Playdex獲得200萬美元種子輪融資,菲律賓加密貨幣交易所PDAX、Orange DAO和BukoVentures領投,Tinder聯合創始人Justin Mateen、Magic聯合創始人AaronKemmer、CSVE Ventures管理合伙人NinaTeng、XA Network的YawYeo、Lazada PH主席Ray Alimurung和Wing Vasiksiri等參投。

Playdex是專為玩賺游戲NFT創建的NFT租賃市場,玩家無需購買昂貴的NFT即可立即玩游戲并賺錢。公會現在可以專注于培訓和擴展他們的社區,不再為游戲資產的巨額財務成本所負擔。[2022/6/2 3:58:46]

「Icephishing」是微軟創造的一個術語,是指一種誘騙用戶批準黑客地址的行為。只需單擊MetaMask窗口中的一個按鈕,用戶就可以將資金的完全訪問權限授予黑客,而這正是此次OpenSea網絡釣魚期間發生的事情。

2.很難判斷何時被智能合約網絡釣魚

你能看出區別嗎?

電子郵件網絡釣魚是大多數人不再擔心的事情:現代垃圾郵件過濾器和多年的經驗使電子郵件網絡釣魚對于大多數精明的用戶來說已成為過去。

相比之下,Web3存在一些挑戰,使得從常規合約中識別網絡釣魚合約變得更加困難。

在上面示例的頂部,會看到簽名時使用的網站URL并不相同:左側是「uniswap.org」,右側是「unLswap.org」。如果用戶沒有抓住容易忽略的細節并簽署合約,對不起,這樣就會丟失錢包中的所有USDC。

雖然網站URL欺騙是一種經典的網絡釣魚策略,但是當執行黑客攻擊時唯一需要的只是按下批準按鈕時,它的危害就會變得很大。

3.嚴重缺乏為加密用戶構建的反網絡釣魚技術

Gmail的自動垃圾郵件過濾器,每天可保護數百萬人免受網絡犯罪的侵害

也許反網絡釣魚技術的最大例子是垃圾郵件過濾器:它已成為互聯網上經常被忽視的重要基石。也正因為垃圾郵件過濾器會自動檢測幾乎所有的網絡釣魚攻擊,因此Web2網絡釣魚攻擊已經失去了大部分效力。

然而,在Web3中,幾乎沒有任何保護措施來防止用戶意外地從「unlswap.org」或「sushl.com」批準合約,我們有責任仔細觀察,從而確保永遠不會犯錯誤。

由于網絡釣魚詐騙通常很容易避免,因此在現代互聯網中長大的人,往往會輕視網絡釣魚詐騙的有效性以及那些被網絡釣魚詐騙的人。

實際上,由于易于執行和投資回報,網絡釣魚詐騙仍然是最常見的網絡犯罪類型。為了規避加密中的網絡釣魚,開發人員社區需要聯合起來開發軟件,使網絡釣魚者更難竊取資金。

OpenSea這些大型加密項目可能成為網絡釣魚攻擊的目標

DeathStar提出的防范網絡釣魚攻擊的新思路

而在不久前剛剛結束的EthDenver2022上,一個名為DeathStar的項目脫穎而出,該項目旨在通過開源良性flashbots來解決網絡釣魚問題。

這些flashbots可在資金從錢包中轉出時進行檢測,一旦檢測到資金是轉移到不受信任的地址時,MEV領跑者就會立即以兩倍Gas費發送一個交易,把用戶的所有資產轉移到備用地址。。我提到這一點只是為了鼓勵其他開發人員繼續考慮其他方法來阻止網絡釣魚攻擊。

盡管網絡釣魚攻擊和詐騙具有簡單而不成熟的內涵,但成為它們犧牲品的危險是非常真實的。由于Web3如此年輕,因此在Web3生態里建立起更好的保護措施來對抗它們之前,與網絡釣魚面對面將是司空見慣的事情。

每一次成功的騙局背后,都會有一個用戶停止使用Web3,而Web3生態在沒有任何新用戶的情況下,將無處可去。

Tags:WEBWEB3NFTSUIweb3域名值錢嗎nftart幣最新消息Suia.io

UNI
深度探討:為什么說Crypto開啟創作者經濟新范式_JIN

原文標題:當創作者遇上Crypto:開啟「創作者經濟」的新范式撰文:CryptoRabbitHoles 編譯:南風? Crypto世界似乎充滿了炒作和投機.

1900/1/1 0:00:00
盤點2022年可能爆發的熱門游戲公會_DAO

前言 PlaytoEarn,簡稱P2E,又可稱為“打金“,是一種邊玩邊賺的理念。憑借其上手快、門檻較低且易傳播的特點,搭上Gamefi的快車,迅速走入人們的視野.

1900/1/1 0:00:00
Yuga Labs 創業回憶錄:一句話是如何變成 40 億美元的_APE

原標題:Let''smakeaNFT 來源:YugaLabs 編譯:律動BlockBeats3月23日,無聊猿母公司YugaLabs以40億美元估值完成4.5億美元融資,a16z領投.

1900/1/1 0:00:00
一文總覽過去五年中以太坊的可擴展性解決方案_區塊鏈

“?區塊鏈無法擴展?”?你可能已經聽過一百萬次了。幾年前,這感覺像是對該行業的真正威脅。如果我們甚至不能每秒處理15筆交易,我們如何為沒有銀行賬戶的人提供銀行服務?但大問題推動了創新,區塊鏈的可.

1900/1/1 0:00:00
AC 的 Solidly 戰爭,散戶的 APR 盛宴_SOL

原文整編:0x137,律動BlockBeats上個周末,Fantom鏈只能用一個詞來形容——水泄不通.

1900/1/1 0:00:00
香港首家“元宇宙實體概念店” The Blue Ark 盛大開業_ARK

香港首家元宇宙實體概念店,TheBlueArk已于2022年2月26日進駐香港半島酒店,盛大開業.

1900/1/1 0:00:00
ads