区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 火必 > 正文

OpenSea:NFT交易平台安全风险频发 OpenSea、X2Y2安全事件分析_opensea币单个价格

作者:

时间:

一、OpenSea事件描述

近日,OpenSea首席执行官Devin Finzer在一条推文表示:"到目前为止,有32个用户签署了来自攻击者的入侵,他们的一些NFT被盗。"并暗示可能是一个欺诈性网站造成的。

"我们正在积极调查与OpenSea相关的智能合约的漏洞传闻,这似乎是源于OpenSea网站之外的钓鱼攻击。请不要点击opensea.io以外的链接。"

SharkTeam第一时间对此事件进行了攻击技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

星巴克NFT系列总市值超1300万美元:3月10日消息,据相关页面信息,星巴克 Starbucks Odyssey NFT 系列总市值超 1300 万美元。目前 Starbucks Odyssey 通过 Nifty Gateway 平台已发布五组 NFT 系列,其中 Holiday Cheer Edition 1 Stamp 市值最高,该系列共 5000 枚,地板价高达 1796.69 美元。[2023/3/11 12:55:15]

二、OpenSea事件攻击原理分析

攻击者账户(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻击合约(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd

OpenSea推出新工具套件,为NFT发布提供一站式服务:金色财经报道,OpenSea推新工具套件,让人们或品牌推出自己的NFT项目。这些工具有助于在所有受支持的EVM链上部署智能合约、配置发布机制和个性化登录页面。此举是在OpenSea努力为增强铸币发布创建独特工具之后做出的,例如沉浸式铸币、稀缺性追踪器和版税执法工具。该公司表示,它将允许某些创作者在未来几周内使用一站式商店铸币工具。[2023/2/3 11:44:27]

1. 创建攻击合约

交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779

2. 发起攻击

RTFKT COO在网络钓鱼攻击中损失了价值17.3万美元的NFT:金色财经报道,本周早些时候,RTFKT首席运营官 Nikhil Gopalani 在一次网络钓鱼攻击中损失了价值超过30万美元的 NFT。NFT项目负责人在 Twitter 上宣布了这个消息。这次攻击几乎影响了他所有的数字资产组合,包括圣杯 NFT 等。由于对 CloneX COO 的网络钓鱼攻击,Nikhil Gopalani 的钱包在撰写本文时仅持有一个 NFT。

据悉,这个黑客拥有与他的 Apple ID 相同的电话号码。此外,黑客已经卖掉了 Nikhil 的所有 CloneX NFT。

进一步调查发现,黑客使用两个钱包窃取了CloneX COO的所有NFT。这源自原始钱包的 OpenSea 交易数据。考虑到当前的底价,NFT 的总价值超过 173,000 美元。[2023/1/9 11:01:52]

运动鞋品牌ASICS(亚瑟士)在Solana推出“The UI Collection”系列NFT:金色财经报道,据 ASICS(亚瑟士) 官方网站,该全球知名运动鞋品牌已宣布在 Solana 区块链上推出与实体鞋绑定的虚拟鞋NFT系列“The UI Collection”,据悉ASICS x Solana联名系列实体球鞋“GT-2000 11”仅限预购,分为“Solana-Dark Mode”和“Solana-Light Mode”两款,售价为200USDC,但要到2023年3月23日才会发货。ASICS表示,与此前发行的NFT系列不同,这次之所以选择Solana是因为该区块链“更为环保”。[2022/11/21 7:51:48]

以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad为例,

执行过程如下:

WyvernExchange合约atomicMatch函数如下:

其中,订单签名校验requireValidOrder函数如下:

函数中包含了挂单授权(签名)的校验,因此,攻击者发起攻击交易,将NFT从原来持有者账户(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 记为0xf2d2)转账到攻击者账户,需要获取到账户0xf2d2的授权(签名)。

攻击者要想获取到其他账户的签名,可以通过以下方法:

(1)获得账户的私钥

(2)签名重放攻击

(3)通过网络钓鱼等方式获取用户的私钥或者签名。

这里,攻击者明显并没有获取到账户0xf2d2的私钥,而且函数中有防止签名重放的措施:

另外,也没有从交易中发现签名重放攻击。

因此,我们分析,被攻击的用户意外签署了来自攻击者的恶意交易,攻击者获得了用户的挂单授权,然后利用该授权签名窃取了用户的NFT。综上所述,我们认为此次攻击事件是由链下的网络钓鱼攻击引起的,而不是链上合约代码漏洞造成的。

三、X2Y2安全事件

无独有偶,2022年2月18日,大V账号(DiscusFish)在Twitter上面指出,NFT交易平台X2Y2上面NFT挂单挖矿存在风险。

此外,还指出X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约,升级权限(proxyAdmin的owner)是官方单地址,理论上存在官方通过升级合约,然后转走用户NFT的可能。

X2X2团队针对可升级合约的漏洞,采用多签钱包和时间锁对合约进行了修复:

四、安全建议

OpenSea被攻击事件属于网络钓鱼攻击,而X2Y2的问题在于合约漏洞。鉴于此,我们提出以下建议:

1.项目方在开发过程中,要保证业务逻辑以及合约代码的严谨性,选择多家知名负责的审计公司进行多伦审计。

2. 项目参与者在涉足区块链项目时请提高警惕,尽可能选择更稳定、更安全,且经过完备多轮审计的公链和项目,在发起交易、签名授权时要谨慎,尽可能地只通过官方指定的网站参与投资。

标签:NFTSEAENSOpenSeaNFT2Stakeblueseachainens币最新消息opensea币单个价格

火必热门资讯
ANS:刘磊律师受邀访谈——深度解读《关于防范NFT相关金融风险倡议》监管规则和NFT发展之路_区块链

NFT之风吹向国内之后,以数字藏品的身份,深受时尚、文艺、体娱、新零售等各界的欢迎,成为一种“新式潮流单品”,去年2021年,中国市场各大发售平台发售各类数字藏品(NFT)约456万份.

DAO:DAO 买下了俱乐部 球迷真的拥有球队了吗_CROSSCHAIN价格

在成长过程中,我们很多人都梦想成为职业运动员。进球、击出本垒打、投下三分球或击出一个底线正手制胜球时那种肾上腺素飙升的感觉是所有人都渴望的.

DAO:NFT权益之辨:加速融合数字版权 国内首家全合规交易平台落地_MDAO价格

伴随元宇宙时代加速到来,以NFT为代表的数字新文创行业正引发全球瞩目。数据显示,自从2021年8月至今,Opesea、Ratible、SuperRare等主流平台区块链上的NFT的平均日交易规模.

OPEN:游戏是给我玩的 但NFT开始让游戏玩我了_PEND

100 万美元、660 美元、6000 万美元......一张图片、一段 10 秒的视频,NFT 藏品不断刷新着价值上限,数字后面有几个 0 都得数上好一会.

NFT:租赁:打造NFT赛道的共享经济_blockchain.infoapi

本文由公众号“老雅痞”laoyapicom授权转载NFT 可以说是今年最热门的趋势,不仅在加密领域创造了270亿美元的市值,也在科技领域展现了其功能性效用。不仅如此,该行业的创新速度也非常惊人.

COI:Coinbase推出以社交功能为中心的NFT市场 加密用户和主流用户会买单吗?_coinbase

作为美国交易量最大、全球第四大的加密货币交易所,Coinbase于上周正式推出了其NFT市场Coinbase NFT.