OpenSea CTO發布釣魚攻擊技術概要：外部攻擊導致，并非OpenSea系統性問題_SEA

2月21日，OpenSeaCTONadavHollander發布了關于針對OpenSea用戶的釣魚攻擊的技術概要。據悉，這次攻擊導致了大約300萬美元資產被盜，包括無聊猿，Azuki和CloneX等知名NFT系列。作者：OpenSeaCTONadavHollander

本帖子分享了針對@OpenSea用戶網絡釣魚攻擊的技術概要，包括提供一些web3方面的技術教育。

基于Seaport的Polygon鏈上OpenSea交易額突破1000萬美元:10月12日消息，DuneAnalytics最新數據顯示，基于開源NFT協議Seaport的Polygon鏈上OpenSea交易總額突破1000萬美元，截至目前為10,806,739美元（過去7天交易額激增超260萬美元，占總交易額四分之一以上），交易量達到247,896筆。[2022/10/12 10:31:26]

在審查了這次攻擊中的惡意訂單之后，可以看出以下一些數據點：

Gem首席開發者：被OpenSea收購并未扼殺發幣的可能性:4月26日消息，在OpenSea收購Gem的消息發布后，一些Gem的忠實用戶對這可能會扼殺發幣的機會感到沮喪。然而，Gem的首席開發者Vasa卻表示該項目仍有可能推出代幣。“（推出）獎勵/代幣并不是不可能的，”Vasa在項目的Discord服務器上說，此前他表示Gem仍將作為一個獨立的品牌和產品運營。

“我們不會改變與所有我們支持市場合作的方式，我們將確保運營方式保持公正和透明。”他補充稱。（The Block）[2022/4/26 5:12:10]

所有惡意訂單都包含來自受影響用戶的有效簽名，表明這些用戶確實在某個時間點某處簽署了這些訂單。但是，在簽署之后時，這些訂單都沒有廣播到OpenSea。

OpenSea CEO：目前有32位用戶NFT被盜，部分NFT已退還:2月20日消息，OpenSea的聯合創始人兼首席執行官Devin Finzer針對“OpenSea漏洞事件”回應稱，這是一種網絡釣魚攻擊，它與OpenSea網站無關。到目前為止，似乎有32位用戶簽署了來自攻擊者的惡意有效載荷，并且他們的一些NFT被盜。目前該攻擊似乎并未處于活動狀態，在2小時內沒有看到來自攻擊者帳戶的任何惡意活動。部分NFT已退還。

他還表示，“不知道近期有任何網絡釣魚電子郵件發送給用戶，目前也不知道是哪個網站誘使用戶惡意簽署郵件。當你簽署信息時，一定要仔細檢查你是否在瀏覽器中與https://opensea.io進行交互。如果你是受影響的用戶，請DM@opensea_support，以便我們能夠徹底調查。[2022/2/20 10:03:56]

沒有惡意訂單針對新的合約執行，表明所有這些訂單都是在OpenSea最新的合約遷移之前簽署的，因此不太可能與OpenSea的遷移流程相關。

32名用戶的NFT在相對較短的時間內被盜。這是非常不幸的，但這也表明了這是一場有針對性的攻擊，而不是OpenSea存在系統性問題。

這些信息，再加上我們與受影響用戶的討論和安全專家的調查，表明由于意識到這些惡意訂單即將失效，因此攻擊者在2.2合約棄用之前執行了這場網絡釣魚操作。

在這場網絡釣魚詐騙之前，我們選擇在新合約上實施EIP-712的部分原因是EIP-712的類型化數據功能使不法分子更難在不知情的情況下誘騙某一位用戶簽署訂單。

例如，如果您要簽署一條消息以加入白名單、抽獎或以代幣作為門檻的discord群組，您會看到一個引用Wyvern的類型化數據有效負載，如果發生一些不尋常的事情，則會向你發出提醒。

“不要共享助記詞或提交未知交易”，這種教育在我們的領域已經變得更加普遍。但是，簽署鏈下消息同樣需要同等的思慮。

作為一個社區，我們必須轉向使用EIP-712類型數據或其他商定標準）來標準化鏈下簽名。

在這一點上，您會注意到在OpenSea上簽署的所有新訂單都使用新的EIP-712格式——任何形式的更改都是可以理解的，但這種更改實際上使訂單簽署更加安全，因為你可以更好地看到你簽的是什么。

此外，強烈呼吁@nesotual,@dguido,@quantstamp等開發者和安全公司向社區提供有關這次攻擊性質的詳細信息。

盡管攻擊似乎是從OpenSea外部發起的，但我們正在積極幫助受影響的用戶并討論為他們提供額外幫助的方法。

Tags：SEAENSPENOPENSeadog MetaverseHavens NookPENCOPENX價格

以太坊最新價格