一、OpenSea事件描述
近日,OpenSea首席執行官Devin Finzer在一條推文表示:"到目前為止,有32個用戶簽署了來自攻擊者的入侵,他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。
"我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞,這似乎是源于OpenSea網站之外的釣魚攻擊。請不要點擊opensea.io以外的鏈接。"
SharkTeam第一時間對此事件進行了攻擊技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
Moonbirds系列NFT總成交額超34.98萬枚ETH:金色財經報道,據NFTScan數據顯示,Moonbirds系列NFT近24小時成交額246枚ETH,平均成交價2.43ETH。歷史累計成交額34.98萬枚ETH,目前有6470個錢包地址持有其NFT。[2023/4/23 14:20:48]
二、OpenSea事件攻擊原理分析
攻擊者賬戶(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74
攻擊合約(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd
1. 創建攻擊合約
交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779
澳大利亞橄欖球聯盟第一款限量版NFT上線12小時內全部售罄:金色財經報道,澳大利亞橄欖球聯盟(AFL)的第一款限量版NFT發布,上線12小時內全部售罄。
8月17日,澳大利亞橄欖球聯盟通過其AFL Mint計劃推出了“Ripper Skipper 2022”,允許在“許可名單”中的每人限購一份,該NFT限量發行3800份,每份價格為34.39USDC。(Cointelegraph)[2022/8/18 12:33:20]
2. 發起攻擊
以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad為例,
仿goblintown.wtf的NFT項目進入OpenSea交易榜前五:金色財經消息,據OpenSea數據顯示,仿goblintown.wtf(與其畫風相似)的NFT項目zombiestown.wtf 24小時交易額達到578.7ETH,進入OpenSea 24小時交易額排行第五名。截至目前發稿時,zombiestown.wtf的地板價為0.14ETH。行情波動較大,請做好風險控制。
此前今日上午消息,goblintown.wtf NFT系列地板價突破8ETH,24小時交易額排名在OpenSea達到第一。[2022/6/2 3:58:28]
執行過程如下:
CharityStars拍賣Beeple NFT:金色財經報道,CharityStars將從即日起至10月19日拍賣NFT藝術家Mike Winkelmann(Beeple)的NFT藝術作品“REBIRTH”19/100NFT,部分收益將用于支持Adopt the Arts基金會。[2021/9/29 17:13:52]
WyvernExchange合約atomicMatch函數如下:
其中,訂單簽名校驗requireValidOrder函數如下:
函數中包含了掛單授權(簽名)的校驗,因此,攻擊者發起攻擊交易,將NFT從原來持有者賬戶(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 記為0xf2d2)轉賬到攻擊者賬戶,需要獲取到賬戶0xf2d2的授權(簽名)。
攻擊者要想獲取到其他賬戶的簽名,可以通過以下方法:
(1)獲得賬戶的私鑰
(2)簽名重放攻擊
(3)通過網絡釣魚等詐騙方式獲取用戶的私鑰或者簽名。
這里,攻擊者明顯并沒有獲取到賬戶0xf2d2的私鑰,而且函數中有防止簽名重放的措施:
另外,也沒有從交易中發現簽名重放攻擊。
因此,我們分析,被攻擊的用戶意外簽署了來自攻擊者的惡意交易,攻擊者獲得了用戶的掛單授權,然后利用該授權簽名竊取了用戶的NFT。綜上所述,我們認為此次攻擊事件是由鏈下的網絡釣魚攻擊引起的,而不是鏈上合約代碼漏洞造成的。
三、X2Y2安全事件
無獨有偶,2022年2月18日,大V賬號(DiscusFish)在Twitter上面指出,NFT交易平臺X2Y2上面NFT掛單挖礦存在風險。
此外,還指出X2Y2上掛單挖礦模式所采用的交易 Exchange 合約是可升級合約,升級權限(proxyAdmin的owner)是官方單地址,理論上存在官方通過升級合約,然后轉走用戶NFT的可能。
X2X2團隊針對可升級合約的漏洞,采用多簽錢包和時間鎖對合約進行了修復:
四、安全建議
OpenSea被攻擊事件屬于網絡釣魚攻擊,而X2Y2的問題在于合約漏洞。鑒于此,我們提出以下建議:
1.項目方在開發過程中,要保證業務邏輯以及合約代碼的嚴謹性,選擇多家知名負責的審計公司進行多倫審計。
2. 項目參與者在涉足區塊鏈項目時請提高警惕,盡可能選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,在發起交易、簽名授權時要謹慎,盡可能地只通過官方指定的網站參與投資。
Tags:NFTENSOPENSEAHDPUNK Vault (NFTX)SENSO價格Opennityblueseachain
今年夏天NFT光速出圈,以OpenSea為例,NFT市場OpenSea目前的總交易額已突破50億美元,其中約30億美元的交易額是在八月一個月內完成的,超過此前交易額總和.
1900/1/1 0:00:00Adidas Originals 宣布即將推出名為Into the Metaverse 的NFT系列。上周百世可樂推出1,893 個“Pepsi Mic Drop”創世 NFT,火爆全網.
1900/1/1 0:00:00很多時候,一個念頭的萌生并非偶然,事物之間總有萬千連結。在web3的世界里,虛擬與現實交織融合,指尖輕觸即可抵達世界的另一端.
1900/1/1 0:00:00NFT,可能是今年最具爭議的科技創業項目之一。很多人說是龐氏騙局,是21世紀的郁金香泡沫,也有人認為在疫情期間,NFT成為了一些線下銷售IP的“救星”.
1900/1/1 0:00:00原文標題: 《Six Key Trends Happening Right Now on Blue Chip NFTs》 總體趨勢 根據NFTGo數據,過去30天中.
1900/1/1 0:00:00NFT作為現如今加密市場的潛在風口,有著許許多多的細分類型,例如頭像、游戲內資產、虛擬土地、社交等。從長遠上看,NFT市場將持續發展,并且極有可能成為下一個千億美元級別的市場.
1900/1/1 0:00:00