一、OpenSea事件描述
近日,OpenSea首席執行官Devin Finzer在一條推文表示:"到目前為止,有32個用戶簽署了來自攻擊者的入侵,他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。
"我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞,這似乎是源于OpenSea網站之外的釣魚攻擊。請不要點擊opensea.io以外的鏈接。"
SharkTeam第一時間對此事件進行了攻擊技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
Messari:第三季度NFT平均每月銷售額不到10億美元:金色財經報道,據Messari數據,以美元計算,ETH上NFT 8月的交易量比1月份下降了90%。NFT第三季度平均每月銷售額不到10億美元,而第二季度為46億美元。
Messari稱,雖然NFT日均交易量大幅下降,但日均交易者數量的降幅要小得多。這表明每天大約有40,000名忠實用戶。[2022/10/2 18:37:18]
二、OpenSea事件攻擊原理分析
攻擊者賬戶(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74
攻擊合約(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd
1. 創建攻擊合約
Doodles系列NFT24小時地板價達13.5ETH:金色財經報道,據NFTGo.io數據顯示,Doodles系列NFT總市值達2.78億美元,在所有NFT項目總市值排名中位列第12位;其24小時交易額為475,389.22美元,漲幅達5.04%。截止發稿時,該系列NFT當前地板價為13.5ETH,漲幅達6.31%。[2022/7/6 1:53:45]
交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779
2. 發起攻擊
數據:6月Flow鏈上NFT銷售額創自2021年以來最低記錄:7月4日消息,據Cryptoslam最新數據顯示,6月Flow鏈上NFT銷售額僅為11,236,932.91美元,創下自2021年以來的最低單月鏈上銷售額記錄。歷史數據顯示,Flow鏈上NFT銷售額在2022年二月和三月均超過2億美元,截至目前銷售總額約為10.7億美元,交易量21,727,916筆。[2022/7/4 1:48:57]
以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad為例,
執行過程如下:
觀點:NFT行業正顯示出“放緩”跡象:4月5日消息,在經歷過去年的“過山車”之后,NFT市場似乎進入了緩沖期。OpenSea的銷售額從1月份的兩倍高點下降到上個月的25億美元。上個月購買數字收藏品的人數降至63.5萬人,平均價格為427美元。NFT愛好者Pablo Rodriguez-Fraile表示:顯然,我們去年某些時期的熱情和興趣已然不再。我認為我們取得了一些不可持續的成就。
另一方面,DappRadar的財務和分析總監Modesta Masoit認為,市場正處于整合階段,而不是衰退。她認為,俄烏沖突可能是投資者表現謹慎的一個很好的理由。她表示:所有人都預計會有一段整合期。它(NFT)不會消失,只是在整合。(BeInCrypto)[2022/4/5 14:05:19]
WyvernExchange合約atomicMatch函數如下:
其中,訂單簽名校驗requireValidOrder函數如下:
函數中包含了掛單授權(簽名)的校驗,因此,攻擊者發起攻擊交易,將NFT從原來持有者賬戶(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 記為0xf2d2)轉賬到攻擊者賬戶,需要獲取到賬戶0xf2d2的授權(簽名)。
攻擊者要想獲取到其他賬戶的簽名,可以通過以下方法:
(1)獲得賬戶的私鑰
(2)簽名重放攻擊
(3)通過網絡釣魚等詐騙方式獲取用戶的私鑰或者簽名。
這里,攻擊者明顯并沒有獲取到賬戶0xf2d2的私鑰,而且函數中有防止簽名重放的措施:
另外,也沒有從交易中發現簽名重放攻擊。
因此,我們分析,被攻擊的用戶意外簽署了來自攻擊者的惡意交易,攻擊者獲得了用戶的掛單授權,然后利用該授權簽名竊取了用戶的NFT。綜上所述,我們認為此次攻擊事件是由鏈下的網絡釣魚攻擊引起的,而不是鏈上合約代碼漏洞造成的。
三、X2Y2安全事件
無獨有偶,2022年2月18日,大V賬號(DiscusFish)在Twitter上面指出,NFT交易平臺X2Y2上面NFT掛單挖礦存在風險。
此外,還指出X2Y2上掛單挖礦模式所采用的交易 Exchange 合約是可升級合約,升級權限(proxyAdmin的owner)是官方單地址,理論上存在官方通過升級合約,然后轉走用戶NFT的可能。
X2X2團隊針對可升級合約的漏洞,采用多簽錢包和時間鎖對合約進行了修復:
四、安全建議
OpenSea被攻擊事件屬于網絡釣魚攻擊,而X2Y2的問題在于合約漏洞。鑒于此,我們提出以下建議:
1.項目方在開發過程中,要保證業務邏輯以及合約代碼的嚴謹性,選擇多家知名負責的審計公司進行多倫審計。
2. 項目參與者在涉足區塊鏈項目時請提高警惕,盡可能選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,在發起交易、簽名授權時要謹慎,盡可能地只通過官方指定的網站參與投資。
今年3月,在一些最大的交易市場上,NFT藝術品交易量激增至2億美元以上,但4月的交易額卻下降了50%。在批評者看來,這是"NFT時代的終結".
1900/1/1 0:00:002020 年,超過 2 億美元的 NFT 易手。今年 2 月的銷量超過了去年全年,銷售額為 3.4 億美元.
1900/1/1 0:00:00提起CryptoKitties,許多人仍然印象深刻,最近隨著NFT的火熱,CryptoKitties重新出現在大眾眼中,并且似乎又重現了往日的輝煌,僅僅在剛過去的24小時內.
1900/1/1 0:00:00NFT?和?DAO正提供更方便的新方式來讓人們擁有和銷售創造性作品。但與此同時,許多項目都繞不開“版權如何適用于?NFT”的難題:當?SpiceDAO?買了一本由導演?Alejandro Jod.
1900/1/1 0:00:00今日下午約15:55分左右,突然爆出鯨探大部分持有未滿180天的藏品可以使用轉贈功能的情況,該消息一出,瞬間引爆了數字藏品社群.
1900/1/1 0:00:00正當您認為自己安全并且美國執法機構已經清理了ICO(初始代幣發行)領域時,您卻并非如此。接下來是NFT熱潮,這與之前ICO的情況沒有什么不同。只是這一次,騙局隱藏在藝術品和收藏品后面.
1900/1/1 0:00:00