上周六,攻击者从OpenSea用户那里偷走了数百个NFT,在该网站的广大用户群中造成了深夜的恐慌。区块链安全服务PeckShield编制的电子表格显示,在攻击过程中,有254个代币被盗,其中包括来自Decentraland和Bored Ape Yacht Club的代币。
大部分的攻击发生在美东时间5点到8点之间,总共针对32个用户。经营博客Web3 is Going Great的Molly White估计,被盗代币的价值超过170万美元。
"他们都有有效的签名"
这次攻击似乎利用了Wyvern协议的灵活性,Wyvern协议是大多数NFT智能合约的开源标准,包括OpenSea上的合约。一种解释(由首席执行官Devin Finzer在Twitter上链接)将攻击分为两部分:首先,目标签署了一个部分合同,其中有一个一般的授权和大部分留空。随着签名的到位,攻击者通过调用他们自己的合同来完成合同,在不付款的情况下转移NFT的所有权。实质上,攻击的目标已经签署了一张空白支票--一旦签署,攻击者就会填写支票的其余部分,以获得他们的持股。
"我检查了每一笔交易,"这位名叫Neso的用户说。"他们都有失去NFTs的人的有效签名,所以任何声称他们没有被钓鱼但失去NFTs的人都是可悲的错误。"
在最近的一轮融资中,OpenSea的估值为130亿美元,它已经成为NFT热潮中最有价值的公司之一,为用户提供了一个简单的界面,可以列出、浏览和竞标代币,而无需直接与区块链互动。这种成功伴随着重大的安全问题,因为该公司一直在与利用旧合约或中毒代币的攻击作斗争,以窃取用户的宝贵资产。
攻击发生时,OpenSea正在更新其合约系统,但OpenSea否认攻击源于新合约。由于目标数量相对较少,这样的漏洞不太可能出现,因为更广泛的平台中的任何缺陷都可能在更大范围内被利用。
但是,这次攻击的许多细节仍然不清楚--特别是攻击者用来让目标签署半空合同的方法。OpenSea首席执行官Devin Finzer在美东时间凌晨3点前在Twitter上写道,这些攻击并非来自OpenSea的网站、其各种列表系统或该公司的任何电子邮件。攻击的速度之快--在几个小时内有数百笔交易--表明有一些共同的攻击媒介,但到目前为止还没有发现任何联系。
"Finzer在Twitter上说:"当我们了解到更多关于网络钓鱼攻击的确切性质时,我们将向您提供最新信息。"如果你有可能有用的具体信息,请DM @opensea_support"。
看过本文的人还看过
- 台胞潘建文内地“追光” 自主创业追梦多媒体系统
- 什么是路怒症,感觉路怒症的人越来越多了,我们该如何控制自己
- 外交部长王毅同澳大利亚外交部长奥马莫举行会谈
- 冰糖葫芦最开始是一种治病偏方吗 蚂蚁庄园冰糖葫芦答案早知道
- 董明珠:企业急功近利赚钱 总有一天会被别人抛弃
- 国家教育部:将人身安全与健康教育知识全方位融进中小学课程教材内容
- 上海市第一个足球场俱乐部队沟通交流公开赛事开幕 青少年儿童高尔夫队创立
- 波黑共和国中国问题权威专家法鲁克·博赫伯特:我党的领导干部是我国获得极大发展趋势造就的重要
- 今年冬季雨雪多不多,“立冬多冰雪,一冬雨雪多!”今年立冬暴风雪,冬天会很冷吗?
- 千人千面算法解析,千人千面的规则下,“白搜”玩法,京东无货源商家如何撬动大利润