比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > DOT > Info

黑客釣魚攻擊閃襲OpenSea用戶_PEN

Author:

Time:1900/1/1 0:00:00

2月19日,全球最大的NFT交易平臺OpenSea剛開始支持用戶使用新合約,一些用戶的NFT資產就被盜了。

次日,OpenSea的CEO Devin Finzer在推特上披露,「這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer稱,攻擊者錢包一度通過出售被盜NFT獲得了價值170萬美元的ETH。

用戶NFT被盜后,不少人在推特上猜測,釣魚攻擊的鏈接可能隱藏在假冒的「OpenSea致用戶」郵件中。因為19日當日,該交易平臺正在進行一項智能合約升級,用戶需要將列表遷移到新的智能合約中。攻擊者很可能利用了這次的升級消息,將釣魚鏈接偽裝成通知郵件。

2月21日,OpenSea的官方推特更新回應稱,攻擊似乎不是基于電子郵件。截至目前,釣魚攻擊的來源仍在調查中。

派盾:Deus Finance再次遭到攻擊,黑客獲利約1340萬美元:金色財經消息,派盾(PeckShield)在Twitter上表示,多鏈衍生品協議Deus Finance目前被監控到在Fantom網絡上遭黑客攻擊,黑客獲利約1340萬美元。

此前3月15日報道,派盾在社交媒體上提醒,Deus Finance目前被監控到在Fantom網絡上遭黑客攻擊,黑客共計盜走20萬枚DAI和1101.8枚ETH。[2022/4/28 2:36:36]

2月18日,OpenSea開始了一項智能合約的升級,以解決平臺上的非活躍列表問題。作為合約升級的一部分,所有用戶都需要將他們在以太坊上的NFT列表遷移至新的智能合約中,遷移期將持續7天,到美東時間的2月25日下午2點完成,遷移期間,用戶NFT在OpenSea上的舊報價將過期失效。

黑客組織Lapsus$入侵了T-Mobile的系統并竊取了其源代碼:金色財經報道,黑客組織Lapsus$在 3 月份發生的一系列違規事件中竊取了T-Mobile的源代碼。T-Mobile在給The Verge的一份聲明中證實了這次攻擊,并表示訪問的系統不包含客戶或政府信息或其他類似的敏感信息。根據 Krebs 發布的截圖消息,Lapsus$ 黑客還試圖侵入 FBI 和國防部的 T-Mobile 賬戶。他們最終沒有這樣做,因為需要額外的驗證措施。

此前消息,英偉達(NVIDIA)曾在二月份下旬報告稱其部分線上業務遭到潛在網絡攻擊,當時黑客組織Lapsus$ 聲稱對此時負責并補充說他們已經竊取了英偉達1TB的數據。據PCmag最新報道,該黑客組合已經開始出售相關數據,同時還將出售解鎖英偉達GPU限制以太坊挖礦的方法。

據悉,Lapsus$ 以黑客組織而聞名,該組織主要針對微軟、三星和英偉達等大型科技公司的源代碼。(theverge)[2022/4/24 14:44:43]

2月19日,用戶需要配合完成的操作開始了。人們沒有想到,在忙亂的遷移過程中,黑客的「黑手」伸向了OpenSea用戶的錢包里。從用戶們在社交平臺的反饋看,大部分攻擊發生在美東時間下午5點到晚上8點。

動態 | Binance首席執行官趙長鵬否認黑客獲取私人用戶信息:據dailyhodl消息,加密貨幣交易所Binance首席執行官趙長鵬否認黑客獲取私人用戶信息的說法。趙趙長鵬說,最近在社交媒體上流傳的關于黑客知道客戶(KYC)數據的傳聞是試圖傳播恐慌,并且交易所正在調查此事。Binance安全團隊澄清“將這些數據與我們系統中的數據進行比較時存在不一致之處。目前沒有提供證據表明任何KYC圖像是從Binance獲得的。”[2019/8/8]

從后來在以太坊瀏覽器上被標記為「網絡釣魚/黑客」的地址上看,19日晚18時56分,被盜的資產開始從黑客地址轉移,并在2月20日10時30分出現了通過混幣工具Tornado Cash「洗幣」的操作。

北卡羅來納州梅克倫堡政府電腦被黑客劫持并討要2個比特幣做贖金:據了解,北卡羅來納州梅克倫堡政府電腦被黑客劫持,這是一種名為ransomware軟件的最新案例,該軟件凍結了計算機網絡上的文件,直到有人輸入解密代碼來解鎖。通常,代碼只能通過支付給黑客比特幣獲得。[2017/12/7]

黑客鏈上地址的部分動向

用戶NFT被盜后,「OpenSea被黑客攻擊,價值2億美元資產被盜」的說法開始在網絡上蔓延,人們無從得知失竊案的準確原因,也無法確認到底殃及了多少用戶。

直到2月20日,OpenSea的CEO Devin Finzer才在推特上披露,「據我們所知,這是一種網絡釣魚攻擊。我們不相信它與 OpenSea 網站相關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意有效載體,他們的一些 NFT 被盜。」Finzer 駁斥了「價值2 億美元的黑客攻擊的傳言」,并表示攻擊者錢包通過出售被盜NFT 獲得了價值170?萬美元的ETH。

區塊鏈安全審計機構 PeckShield 列出了失竊NFT的數量,共計315個NFT資產被盜,其中有254個屬于ERC-721標準的NFT,61個為ERC-1155標準的NFT,涉及的NFT品牌包括知名元宇宙項目Decentraland 的資產和NFT頭像「無聊猿」Bored Ape Yacht Club等。該機構還披露,黑客利用Tornado Cash清洗了1100 ETH,按照ETH當時2600美元的價格計算,清洗價值為286萬美元。

用戶NFT失竊事件發生后,有網友猜測,黑客利用了OpenSea升級的消息,將釣魚鏈接偽造成通知用戶的郵件,致使用戶上當受騙而點擊了危險鏈接。

對此,Devin Finzer表示,他們確信這是一次網絡釣魚攻擊,但不知道釣魚發生在哪里。根據與32名受影響用戶的對話,他們排除了一些可能性:攻擊并非源自OpenSea官網鏈接;與OpenSea電子郵件交互也不是攻擊的載體;使用OpenSea 鑄造、購買、出售或列出NFT不是攻擊的載體;簽署新的智能合約(Wyvern 2.3 合約)不是攻擊的載體;使用 OpenSea 上的列表遷移工具將列表遷移到新合約上不是攻擊的載體;點擊官網banner頁也不是攻擊的載體。

簡而言之,Finzer試圖說明釣魚攻擊并非來自OpenSea網站的內部。2月21日凌晨,OpenSea官方推特明確表示,攻擊似乎不是基于電子郵件。

截至目前,釣魚攻擊到底是從什么鏈接上傳導至用戶端的,尚無準確信息。但獲得Finzer認同的說法是,攻擊者通過釣魚攻擊拿到了用戶轉移NFT的授權。

推特用戶Neso的說法得到了Finzer的轉發,該用戶稱,攻擊者讓人們簽署授權了一個「半有效的 Wyvern 訂單」,因為除了攻擊者合約和調用數據(calldata)之外,訂單基本上是空的,攻擊者簽署了另一半訂單。

該攻擊似乎利用了Wyvern 協議的靈活性,這個協議是大多數 NFT 智能合約(包括在 OpenSea上制定合約)的基礎開源標準,OpenSea 會在其前端/API上驗證訂單,以確保用戶簽署的內容將按預期運行,但這個合約也可以被其他更復雜的訂單使用。

按照Neso的說法,首先,用戶在Wyvern上授權了部分合約,這是個一般授權,大部分的訂單內容都留著空白;然后,攻擊者通過調用他們自己的合約來完成訂單的剩余部分,如此一來,他們無需付款即可轉移 NFT 的所有權。

簡單打個比方就是,黑客拿到了用戶簽名過的「空頭支票」后,填上支票的其他內容就搞走了用戶的資產。

也有網友認為,在釣魚攻擊的源頭上,OpenSea排除了升級過的、新的Wyvern 2.3合約,那么,不排除升級前的、被用戶授權過的舊版本合約被黑客利用了。對此說法,OpenSea還未給出回應。

截至目前,OpenSea仍在排查釣魚攻擊的源頭。Finzer也提醒不放心的用戶,可以在以太坊瀏覽器的令牌批準檢查程序(Ethereum Token Approval)上取消自己的NFT授權。

Tags:PENENSOPENSEAOpen Proprietary ProtocolFRENS幣Opennitysea幣大漲

DOT
Web1、Web2、Web3到底有什么區別?_區塊鏈

Web 3.0 一詞最初是由 Gavin Wood 博士在一篇描述去中心化互聯網將帶來的突破的博客文章中創造的.

1900/1/1 0:00:00
金色觀察|OpenSea、Metamask的制裁是怎樣實現的?_OpenSea

金色財經3月4日消息,NFT交易平臺OpenSea封禁了伊朗用戶,發言人表示,OpenSea服務條款明確禁止受制裁的用戶或受制裁地區的用戶使用OpenSea的服務.

1900/1/1 0:00:00
詳解DEX聚合器:鏈上交易的未來_SWAP

與Web2.0同行,為何我們需要聚合器?在Web 2.0和Web 3.0中,有一點是共通的,那就是用戶對提高便利性,減少搜尋成本的產品和工具的需求.

1900/1/1 0:00:00
觀點:NFT很快會出現在你最喜歡的電子游戲中嗎?_比特幣

1996年,當任天堂64首次在美國發布時,它在第一季度售出了160萬臺(每臺價值200美元)。它在假日季最接近的競爭對手是售價30美元的Tickle Me Elmo玩偶,在同一個櫥窗里賣出了大約.

1900/1/1 0:00:00
以太坊:質押收益翻倍?_TOR

以太坊的質押可能很快會有兩倍的利潤。Coinbase估計,在1月份以太坊網絡合并后,所持ETH的回報將翻倍。假設加密貨幣交易所Coinbase的估計是準確的.

1900/1/1 0:00:00
簡單讀懂Tether季度儲備報告_ETH

總資產為786.7億美元,與數字代幣相關的負債約為785.3億美元USDT發行方Tether今日公布2021年第四季度綜合儲備報告,顯示該公司總資產為 786.7 億美元.

1900/1/1 0:00:00
ads