OPEN:OpenSea遭遇钓鱼攻击 波及资产超170万美元_PEN

NFT安全问题再受瞩目

昨晚，有报道称NFT收集者一直在从钱包中丢失NFT和以太坊，OpenSea疑似遭到网络钓鱼攻击瞬间成为大众密切关注的话题。

OpenSea首席执行官DevinFinzer及时对涉嫌网络钓鱼作出回应，本次网络钓鱼攻击波及的资产总额达640ETH，相关NFT已经在被标记为“Fake_Phishing5169”的钱包之中。

据链上数据显示，该恶意钱包于去年12月进行了第一笔交易，但网络钓鱼攻击在昨天才开始。此外，该钱包还一直在与另一个被标记为OpenSea网络钓鱼的钱包进行交互。

OpenSea发布钱包功能更新：简化ETH封装/解封:4月8日消息，NFT市场OpenSea在社交媒体宣布推出钱包功能等一系列更新，旨在改善平台用户体验，包括：钱包升级进一步简化ETH封装/解封、支持实时余额刷新、收藏订单模式更新、新增NFT报价深度选项、报价选项新增NFT特征过滤器。新功能升级后服务将更加简单，应用内区块链切换后的网络导航也将更容易，同时用户可以准确了解自己的交易金额并实时查看到最新的地板价和最高出价。[2023/4/8 13:51:29]

在过去的24小时内，大量来自底价高的收藏的NFT被转移，例如BoredApeYachtClubNFT、CoolCats、Doodles和AzukiNFT。Fake_Phishing5169地址还通过竞争对手NFT市场Rarible和LooksRare进行了交易。

风投机构1confirmation创始人公布年终LP信件，仍持有以太坊、OpenSea等项目大量股份和代币:1月11日消息，风投机构1confirmation创始合伙人Nick Tomaino在社交媒体上公布其年终LP信件，其中指出，1confirmation Fund I、Fund II向合作伙伴分配了1.19亿美元现金，目前仍持有以太坊、OpenSea、Cosmos、dYdX、SuperRare等项目的大量股份和代币。

此外，Fund I现在的净分配为实收资本（DPI）的4.47倍，内部回报率（IRR）为144.28%；Fund II现在的净分配为实收资本(DPI)的1.2倍，内部回报率（IRR）为173%。Fund III和NFT Fund已进行了15项新投资，NFT Fund已部署25%的资金。[2023/1/11 11:06:04]

对于此次事件，OpenSea表示正在进行积极调查。最新消息称，OpenSea官方发推表示，目前这次网络钓鱼攻击还没有调查出确定确切的来源，但想有一些EOD更新：已将受影响的个人名单缩小到17人，而不是之前提到的32人。最初的计数包括与攻击者有过“交互”的任何人，而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃，超过15小时没有恶意合约活动。

Solana链NFT项目Trippin’ Ape Tribe 24小时交易量排名达到OpenSea第一:金色财经消息，据OpenSea数据显示，Solana链NFT项目Trippin’ Ape Tribe 24小时交易量排名达到OpenSea第一，具体交易量为291795SOL。截至发稿时，Trippin’ Ape Tribe地板价为48SOL。[2022/5/25 3:41:12]

不过DevinFinzer在事情刚发生时就推特上表示，该漏洞可能根本没有袭击OpenSea，到目前为止，似乎有32位用户签署了来自攻击者的恶意有效载荷，并且他们的一些NFT被盗。

OpenZeppelin的智能合约开发库将迁移到Solidity 0.7版本:区块链开发工具提供商OpenZeppelin的智能合约开发库OpenZeppelin Contracts宣布将迁移到智能合约编程语言Solidity最新发布的0.7版本，目前已经发布了基于最新版OpenZeppelin Contracts 3.1的Solidity 0.7的特殊版本。OpenZeppelin表示Solidity 0.7是一个突破性的变化，但目前还没有决定如何适应OpenZeppelin Contracts的版本规则，以及如何支持Solidity 0.6版本的继续迭代。Solidity于7月底更新为0.7版本，官方称这是对Solidity语言和编译器的重大更新。[2020/8/10]

简单来说，DevinFinzer猜测人们可能收到了伪造成官方的电子邮件，诱导他们将NFT转移到其他人的钱包中。

此外，DevinFinzer还表示，推特用户Neso的帖子与他对所发生事情的理解一致。

Neso发推解释了技术方面的可能性，Neso表示，丢失资产的人可能签署了一半有效的wyvern订单，攻击者签署了另一半订单。wyvern合约非常灵活，OpenSea会在其前端/api上验证订单，以确保用户签署的内容将按预期运行，但同样的合约仍然可以被其他人使用，如果人们签署这样更复杂的订单，攻击者就可以拿走得到正式认可的所有东西。

这次攻击恰逢新智能合约Wyvern2.3的发布，OpenSea当时要求用户迁移他们的列表，不少猜测表示或许与此有关。不过OpenSea的攻击来源依旧没有得到确切的消息，这些猜测也只是猜测，关于后续的故事，仍需继续等待OpenSea的调查结果。

有趣的是，此次事件中攻击者的交易操作着实让很多人摸不着头脑。

比如为什么网络钓鱼者在拿走他的一些资产后选择归还部分资产？

再比如，为什么归还部分资产之后向naterivers.eth发送了50个以太坊？

......

是良心发现还是耀武扬威？恐怕这些谜之操作，也只有攻击者自己知道。

最后，为了防止NFT和以太币的丢失，最好通过Etherscan的代币批准功能撤销访问权限，最好将资产转移到硬件钱包中。

Etherscan的代币批准功能链接如下：

https://etherscan.io/tokenapprovalchecker

作者：Corn

标签：STOOPENPENNFTCustody Tokenopen币团队apenft币价格今日行情PNFT价格

酷币热门资讯