Opensea被攻击始末,如何保护自己的NFT
据报道,Opensea的智能合约被一名黑客利用,该黑客目前已从32名交易者那里抽走了超过170万美元的资金和数十个有价值的NFT。
Opensea在推特上承认了这一漏洞,并表示这一漏洞似乎是一种网络钓鱼攻击,它导致一些用户在攻击者那里签署了一个恶意负载,从而使攻击者有权从用户的钱包中窃取 NFT。
考虑到Opensea上此前发布了一个新的交易所智能合约版本,以修补其平台上旧的、不活跃的NFT列表上漏洞,此次攻击的时机是经过精心策划的。
一些交易者表示,他们收到了一封疑似来自Opensea的网络钓鱼邮件,要求他们迁移到新的合约。
OpenSea 官方定义此次为 “phishing attack”(钓鱼攻击)。
还是写一篇文章来复盘一下近来 OpenSea 用户被盗事件,算是对更多用户的提醒吧。
▐ Opensea被攻击事件进展
▲ 2月20日
1、OpenSea新迁移合约出现bug,攻击者窃取大量NFT并卖出套利。
2、官方提醒:这看起来像是来自OpenSea网站外部的网络钓鱼攻击,不要点击 opensea.io之外的任何链接。
3、OpenSea CEO:目前有32位用户NFT被盗,部分NFT已退还。
▲ 2月21日
1、本次网络钓鱼攻击波及32名用户的640 ETH(约合 170 万美元)资产。
2、Opensea CTO:本次攻击与OpenSea的迁移问题相关可能性较小。有证据表明这是有针对性的攻击,并不是系统性问题。
3、受影响的个人名单缩小到17人。
▲ 2月22日
1、一位BAYC所有者称,黑客通过OpenSea非活跃上架漏洞,利用以0.01 ETH 购买了他的 BAYC,他对OpenSea提起诉讼,要求赔偿超100万美元或归还BAYC#3475。
2、已排除合约迁移工具是攻击载体的可能性,OpenSea.io签名安全。
▐ 如何攻击
黑客首先知道了 OpenSea 需要用户对其卖单进行迁移,并且知道 OpenSea 官方提前发出了迁移日期和操作步骤的邮件。
黑客提前做好了钓鱼网站,并且通过伪造的邮件通知用户进行迁移操作,引导受害用户在该钓鱼网站上进行卖单迁移操作。这个迁移操作就是让用户对其销售的卖单进行签名,然而签名的卖单价格是0。
黑客拿到用户签了名的卖单信息,通过调用 OpenSea 的交易合约就能以 0 的价格完成交易,顺利拿到受害者的 NFT。
▐ 如何保护
1、选择硬件钱包保存NFT是最保险的方式。
2、不要点击未经验证的链接,不要点击由未知来源发送的随机链接或损坏的链接。
3、仔细检查域名链接,以防进入虚假页面。
4.不要共享屏幕。
5.不要泄露自己的助记词,不要用手机电脑记录助记词。
6.如需要帮助,求助官方网站而不是社交媒体。
7.通过区块链游览器撤销对交易平台合约的批准。
部分内容来源于网络资料
编 |Black 审 | 林蛋壳
声明:投资有风险,入市须谨慎。本资讯不作为投资理财建议。