OpenSea釣魚攻擊事件啟示：警惕三個安全教訓_WEB

原文作者：DanielChong，Harpie聯合創始人

原文編譯：楊樹

2月19日，攻擊者使用了看似「毫無技巧」的電子郵件網絡釣魚攻擊，成功從一名OpenSea用戶手中盜走了254個NFT，其中包含價值不菲的Decentraland和BoredApeYachtClub系列藏品。這位用戶收到了偽造的電子郵件并被要求批準智能合約，而在用戶批準了合約之后，黑客順利地從被釣魚用戶的錢包中提走了NFT。

安全教訓，以便對未來的攻擊保持警惕。

貨幣容易

DeFi協議使用的經典Approval合約

Scopescan：Worldcoin TFH團隊和投資者地址再次將8個新地址分發9000萬枚WLD:金色財經報道，據Scopescan數據監測，在過去30分鐘，Worldcoin的TFH團隊和投資者的0x0d4c開頭地址向8個新地址分發9000萬枚WLD（1.52億美元）。

在過去5天里，0x0d4c開頭地址已將總計價值4.9億美元的WLD代幣轉移到26個投資者地址。[2023/8/11 16:20:28]

「Approval」幾乎是所有基于智能合約的代幣的功能，當用戶「Approval」另一個錢包時，就意味著允許該錢包稍后從用戶自己的錢包中轉移代幣。例如，如果我「Approval」我「0x123」錢包的USDC和無聊猿NFT，那「0x123」就可以將這些代幣轉出。

MetaStone與新火科技旗下MPC自托管平臺Sinohope達成合作:據官方消息，新火科技旗下MPC自托管平臺Sinohope宣布正式與專注于 Web3.0 及其他前沿技術的投資集團MetaStone Group合作，雙方將圍繞虛擬資產安全及合規托管技術進行深度溝通與密切合作。作為新火科技新近推出的重點產品，Sinohope致力于為每個機構打造專屬的數字資產自托管平臺。該平臺通過采用 MPC-CMP 技術支持用戶分布式管理私鑰分片與協同簽名，解決私鑰單點風險，有效增加透明性和易用性。MetaStone Group 成立于 2017 年，致力于構建和投資 Web3.0 技術和基礎設施。[2023/5/11 14:57:30]

大多數DeFi協議都使用「Approval」作為將資產轉移到協議的主要方法。

Supremacy Games與MoonPay合作推出Stormtrooper NFT系列:金色財經報道，Supremacy Games和Web3游戲制作商Tyranno Studios宣布，通過與MoonPay及其NFT結賬解決方案的合作，用戶將能夠用信用卡和借記卡以及Apple或Google Pay購買最近曝光的 \"Stormtrooper \"NFT系列。這種合作關系對于使所有標志性系列的粉絲有機會購買這些NFT而無需瀏覽傳統的步驟至關重要。（prnewswire）[2022/10/27 11:46:46]

「Icephishing」是微軟創造的一個術語，是指一種誘騙用戶批準黑客地址的行為。只需單擊MetaMask窗口中的一個按鈕，用戶就可以將資金的完全訪問權限授予黑客，而這正是此次OpenSea網絡釣魚期間發生的事情。

你能看出區別嗎？

電子郵件網絡釣魚是大多數人不再擔心的事情：現代垃圾郵件過濾器和多年的經驗使電子郵件網絡釣魚對于大多數精明的用戶來說已成為過去。

相比之下，Web3存在一些挑戰，使得從常規合約中識別網絡釣魚合約變得更加困難。

在上面示例的頂部，會看到簽名時使用的網站URL并不相同：左側是「uniswap.org」，右側是「unLswap.org」。如果用戶沒有抓住容易忽略的細節并簽署合約，對不起，這樣就會丟失錢包中的所有USDC。

雖然網站URL欺騙是一種經典的網絡釣魚策略，但是當執行黑客攻擊時唯一需要的只是按下批準按鈕時，它的危害就會變得很大。

Gmail的自動垃圾郵件過濾器，每天可保護數百萬人免受網絡犯罪的侵害

也許反網絡釣魚技術的最大例子是垃圾郵件過濾器：它已成為互聯網上經常被忽視的重要基石。也正因為垃圾郵件過濾器會自動檢測幾乎所有的網絡釣魚攻擊，因此Web2網絡釣魚攻擊已經失去了大部分效力。

然而，在Web3中，幾乎沒有任何保護措施來防止用戶意外地從「unlswap.org」或「sushl.com」批準合約，我們有責任仔細觀察，從而確保永遠不會犯錯誤。

由于網絡釣魚詐騙通常很容易避免，因此在現代互聯網中長大的人，往往會輕視網絡釣魚詐騙的有效性以及那些被網絡釣魚詐騙的人。

實際上，由于易于執行和投資回報，網絡釣魚詐騙仍然是最常見的網絡犯罪類型。為了規避加密中的網絡釣魚，開發人員社區需要聯合起來開發軟件，使網絡釣魚者更難竊取資金。

ETHDenver尋寶：30個獲勝項目你都知道哪些？》）。

這些flashbots可在資金從錢包中轉出時進行檢測，一旦檢測到資金是轉移到不受信任的地址時，MEV領跑者就會立即以兩倍Gas費發送一個交易，把用戶的所有資產轉移到備用地址。。我提到這一點只是為了鼓勵其他開發人員繼續考慮其他方法來阻止網絡釣魚攻擊。

盡管網絡釣魚攻擊和詐騙具有簡單而不成熟的內涵，但成為它們犧牲品的危險是非常真實的。由于Web3如此年輕，因此在Web3生態里建立起更好的保護措施來對抗它們之前，與網絡釣魚面對面將是司空見慣的事情。每一次成功的騙局背后，都會有一個用戶停止使用Web3，而Web3生態在沒有任何新用戶的情況下，將無處可去。

原文鏈接

Tags：WEBWEB3NFTAPPweb4幣怎么樣web3游戲賺錢1NFT中幣官網app

幣安交易所app下載