【摘要】 上周六,攻击者从OpenSea用户那里偷走了数百个NFT,在网站的广大用户群中引起了深夜恐慌。区块链安全服务Peckshield编制的电子表格显示
上周六,攻击者从OpenSea用户那里偷走了数百个NFT,在网站的广大用户群中引起了深夜恐慌。区块链安全服务Peckshield编制的电子表格显示,在攻击过程中,有254枚代币被盗,包括Decentraland和Boredapeyachtclub的代币。
OpeaSea被捕被盗170万美元NFT
大部分攻击发生在美东时间5:00到8:00之间,总共针对32名用户。MollyWhite经营博客Web3isGoingGreat,估计被盗代币价值超过170万美元。
“他们都有有效的签名”
攻击似乎使用了Wyvern协议的灵活性。Wyvern协议是大多数NFT智能合同的开源标准,包括OpenSea上的合同。一种解释将攻击分为两部分:首先,目标签署了一部分合同,其中一个是一般授权,大部分是空的。随着签名到位,攻击者通过调用自己的合同完成合同,并在不付款的情况下转让NFT的所有权。本质上,攻击目标已经签署了一张空白支票——一旦签署,攻击者将填写支票的其余部分以获得其持股。
“我检查了每一笔交易,”这位名叫Neso的用户说。“他们都有失去NFTS的人的有效签名,所以任何声称没有被钓鱼但失去NFTS的人都是可悲的错误。
在最近一轮融资中,Opensea的估值为130亿美元。它已成为NFT热潮中最有价值的公司之一,为用户提供了一个简单的界面,可以在不直接与区块链互动的情况下浏览和竞标代币。这一成功伴随着重大的安全问题,因为该公司一直在与使用旧合同或中毒代币的攻击作斗争,以窃取用户的宝贵资产。
当攻击发生时,Opensea正在更新其合同系统,但Opensea否认攻击来自新合同。由于目标数量相对较少,这样的漏洞不太可能出现,因为平台更广泛的任何缺陷都可能在更广泛的范围内使用。
然而,攻击的许多细节仍然不清楚——特别是攻击者使用目标签署半空合同的方法。Opensea首席执行官Devinfinzer在美国东部时间凌晨3点前在Twitter上写道,这些攻击不是来自Opensea网站,而是来自该公司的各种列表系统或任何电子邮件。攻击速度如此之快——数百笔交易在几个小时内表明有一些共同的攻击媒体,但到目前为止还没有发现任何联系。
Finzer在Twiter上说:“当我们了解更多关于网络钓鱼攻击的确切性质时,我们会向您提供最新信息。”如果您有可能有用的具体信息,请DM@opensea_support”。