区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > KuCoin > 正文

OPEN:OpenSea CTO发文回顾钓鱼攻击:外部攻击导致,并非自身系统性问题_OpenSea

作者:

时间:

作者:OpenSeaCTONadavHollander

2月21日,OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉,这次攻击导致了大约300万美元资产被盗,包括无聊猿,Azuki和CloneX等知名NFT系列。

本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要,包括提供一些web3方面的技术教育。

马斯克宣布推特清理僵尸号,30天内未登陆就注销:金色财经报道,推特CEO马斯克表示,推特将清除多年来一直不活跃的社交用户账号,因此部分用户可能会发现关注者减少。

?但马斯克同时表示,被清除账户将被存档。但目前尚不清楚推特用户是否或如何能够访问存档账户。据推特的政策,用户必须至少每30天登录一次账号,以避免因长时间不活动而永久注销。[2023/5/10 14:53:36]

在审查了这次攻击中的恶意订单之后,可以看出以下一些数据点:

所有恶意订单都包含来自受影响用户的有效签名,表明这些用户确实在某个时间点某处签署了这些订单。但是,在签署之后时,这些订单都没有广播到OpenSea。

没有恶意订单针对新的合约执行,表明所有这些订单都是在OpenSea最新的合约迁移之前签署的,因此不太可能与OpenSea的迁移流程相关。

32名用户的NFT在相对较短的时间内被盗。这是非常不幸的,但这也表明了这是一场有针对性的攻击,而不是OpenSea存在系统性问题。

这些信息,再加上我们与受影响用户的讨论和安全专家的调查,表明由于意识到这些恶意订单即将失效,因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。

在这场网络钓鱼之前,我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。

例如,如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组,您会看到一个引用Wyvern的类型化数据有效负载,如果发生一些不寻常的事情,则会向你发出提醒。

“不要共享助记词或提交未知交易”,这种教育在我们的领域已经变得更加普遍。但是,签署链下消息同样需要同等的思虑。

作为一个社区,我们必须转向使用EIP-712类型数据或其他商定标准)来标准化链下签名。

在这一点上,您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的,但这种更改实际上使订单签署更加安全,因为你可以更好地看到你签的是什么。

此外,强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。

尽管攻击似乎是从OpenSea外部发起的,但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。

标签:OPENENSOpenSeaSEAOpenDAOTenSpeed.Financeopensea币价格Omnisea

KuCoin热门资讯
EFI:解析游戏侧链Ronin:Axie Infinity 的飞轮野望_Games for a Living

作者:JoelJohn,LedgerPrime首席执行官翻译:KayFeng,ApertureDigital创始合伙人.

MEF:剖析基于NFT的公链、L2与侧链,未来究竟潜力多大?_OLA

原标题|深度剖析基于NFT的公链赛道作者:子熹君0xRank1.NFT发展历程以及产业价值链1.1?近期NFT发展迅速,交易量大幅上涨、近期NFT发展迅速,交易量大幅增长.

EAT:俄乌局势下,再现加密优势_GREATDANE

2月24日起乌克兰战况成为了在2022北京冬奥会之后,除香港疫情外最引人关注的内容,并且时时刻刻牵动着业内人事的心;据新闻报道,随着俄罗斯开始在乌克兰开展军事行动,受到战事的影响比特币价格走低.

数字艺术:从音乐、四维、隐私、交互等角度重新定义NFT_SVG价格

来源:?ForesightResearch 一、概要 现状: NFT是所有权证明,是你购买作品的收据,不是作品本身.万物皆链接,NFT就是其中一种链接.目前NFT主要以艺术品的形式出现.

WEB:浅谈为什么说模块化是必然的?以及它对我们的启示_BAYC Vault (NFTX)

作者:李策 此前PANews在文章《Layer2之后该怎么扩容,深度解读Celestia的数据可用性模块》中简单介绍过什么是模块化,但这次希望在此基础上,谈谈为什么区块链需要被模块化.

加密货币:观点:Web3创新正在用中间件协议取代中间商_RAP

加密货币和更广泛的区块链生态系统正在帮助改变我们日常生活的现状。有了这些新兴技术,Web3作为一种使用中间件区块链协议的无需许可的开放式创新被引入.