全球最大的NFT交易平臺OpenSea快速修復了一個威脅用戶NFT資產安全的漏洞。此前,有用戶在社交媒體推特上稱,他們經該OpenSea獲得免費空投的NFT后,加密錢包里的資產被盜走。
區塊鏈安全公司CheckPointResearch正是從受害者那獲得了漏洞線索,研究人員調查發現,OpenSea上存在安全漏洞,黑客可能利用漏洞發送惡意NFT以劫持用戶的OpenSea賬戶并竊取他們的加密錢包。
該安全公司向OpenSea報告了漏洞,雙方在9月底就聯手修復了這一漏洞,安全事件隔了20多天才得以對外公布,OpenSea專門開辟了一個博客向用戶普及去中心化網絡安全常識。
從漏洞及攻擊方式看,這是一起典型的「釣魚攻擊」,這種攻擊在互聯網世界并不陌生,但經過多年的安全實踐,互聯網已經對此構建起一定的防御手段,用戶也有了防御意識。但在新興的去中心化網絡區塊鏈上,「釣魚」這種古老的攻擊的方式仍在橫行,并蔓延到了NFT資產領域,它利用的恰恰是用戶對區塊鏈基礎設施的陌生感。
FTX索賠用戶成為網絡釣魚攻擊的潛在目標:金色財經報道,加密貨幣交易所FTX多名用戶在收到交易所官方客戶支持電子郵件發送的“重置密碼”請求后,成為潛在網絡釣魚攻擊的目標。該電子郵件已經過安全公司的查證,由support@ftx.com發送,這是該交易所倒閉前的官方電子郵件地址。密碼重置鏈接路由至FTX索賠門戶,該門戶允許用戶針對其在平臺停業前持有的資產提交破產索賠。如果黑客獲得了用戶的個人電子郵件地址的訪問權限,他們就可以訪問索賠人的帳戶并將資金轉移到他們的個人錢包中。[2023/7/20 11:07:35]
用戶在OpenSea接收NFT空投后錢包被盜
網友在推特上傾訴的加密資產被盜事件引起了區塊鏈安全公司CheckPointResearch的注意。這些加密資產被盜事件有個共同的引子——用戶接收了免費的NFT空投后,錢包被洗劫。
派盾:某釣魚地址通過ClaimRewards釣魚攻擊盜取約104枚ETH:7月10日消息,派盾(PeckShield)監測顯示,釣魚地址Fake_Phishing182233已通過ClaimRewards釣魚攻擊盜取約104枚ETH(約19.4萬美元)。[2023/7/10 10:45:38]
「當我們在網上看到有關被盜加密錢包的傳聞時,我們對OpenSea產生了興趣。我們推測,OpenSea周圍存在一種攻擊方法,因此我們對它進行了徹底調查。」CPR的產品漏洞研究主管OdedVanunu回憶了一個月前的研究經歷。
在與受害用戶取得聯系并詳細詢問后,CPR識別出OpenSea上存在的關鍵漏洞,證明惡意NFT投放者可利用漏洞劫持用戶的OpenSea賬戶并竊取用戶的加密錢包。
RTFKT COO在網絡釣魚攻擊中損失了價值17.3萬美元的NFT:金色財經報道,本周早些時候,RTFKT首席運營官 Nikhil Gopalani 在一次網絡釣魚攻擊中損失了價值超過30萬美元的 NFT。NFT項目負責人在 Twitter 上宣布了這個消息。這次攻擊幾乎影響了他所有的數字資產組合,包括圣杯 NFT 等。由于對 CloneX COO 的網絡釣魚攻擊,Nikhil Gopalani 的錢包在撰寫本文時僅持有一個 NFT。
據悉,這個黑客擁有與他的 Apple ID 相同的電話號碼。此外,黑客已經賣掉了 Nikhil 的所有 CloneX NFT。
進一步調查發現,黑客使用兩個錢包竊取了CloneX COO的所有NFT。這源自原始錢包的 OpenSea 交易數據。考慮到當前的底價,NFT 的總價值超過 173,000 美元。[2023/1/9 11:01:52]
用戶在查看惡意NFT?時可能會看到的確認選擇
Fairyproof:有攻擊者冒充Cryptovoxel官方進行釣魚攻擊盜取NFT:金色財經報道,據Fairyproof監測,3月28日晚22:00左右,有攻擊者冒充Cryptovoxel官方進行釣魚攻擊,誘導用戶進行授權,偷走了多個NFT(包括CryptovoxelsParcelToken,ArtBlocks:BLOCKSToken,MutantApeYachtClub:MAYCToken等),然后在opensea上出售。攻擊者地址為:0x794ca38bc1e15e528a7991ce25707a25ad71b675。Fariyproof會進一步監控相應地址活動情況,并提醒用戶批準交易時仔細甄別,不要輕易給予授權。[2022/3/29 14:23:17]
CPR推導出利用漏洞的步驟——黑客創建惡意NFT并將其贈送給目標受害者;受害者查看惡意NFT后,OpenSea的存儲域會觸發彈出窗口(此類彈窗在該平臺的各種活動中很常見),請求連接到受害者的加密資產錢包上;受害者如果為了獲得這些「免費的NFT」與之交互,就要點擊「連接錢包」,一旦此操作執行,黑客就獲得了訪問受害者錢包的權限;利用觸發其他彈窗這一方式,黑客就可以不斷竊取用戶錢包中的資產。
慢霧:有用戶遭釣魚攻擊,在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息,有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析,此是由于該受害用戶遭受釣魚攻擊,錯誤的對攻擊者精心構造的惡意訂單進行簽名,惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配,并以攻擊者指定的極低價格成交,導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]
由于這些彈窗是從OpenSea的存儲域發出的,因此CPR也就鎖定了該平臺的漏洞源頭。如果用戶沒有注意到描述交易的彈窗中的注釋,他們很可能點擊彈窗,最終導致整個加密錢包被盜。
CPR識別并推導出了漏洞及利用路徑,但OpenSea在后續針對此漏洞的聲明中稱,無法確定任何利用此漏洞的實例。
CPR表示,9月26日,他們向OpenSea披露了調查結果,對方響應迅速并共享了包含來自其存儲域的iframe對象的svg文件,因此CPR可以一起審查并確保關閉所有攻擊媒介。在不到1個小時時間里,OpenSea修復了該漏洞并驗證了修復。
OpenSea的聲明顯示,這些攻擊依賴于用戶通過第三方錢包為惡意交易提供簽名來批準惡意活動,修復漏洞后,他們已經與和平臺集成的第三方錢包直接協調,以幫助用戶更好地識別惡意簽名請求,以及幫助用戶阻止詐騙和網絡釣魚的舉措攻擊。「我們還圍繞安全最佳實踐加倍進行社區教育,并啟動了一個關于如何在去中心化網絡上保持安全的博客系列。我們鼓勵新用戶和經驗豐富的老手閱讀該系列。我們的目標是讓社區能夠檢測、減輕和報告區塊鏈生態系統中的攻擊,例如CPR所展示的攻擊。」
別將錢包輕易與陌生網址相連
這已經不是第一起發生在NFT資產領域的安全事件,受害者也不僅是普通用戶,但更集中在普通用戶群體中,因為無論是平臺還是項目方的的NFT資產被盜,都會影響到普通用戶的收益。
僅今年3月就發生了兩期知名度較高的NFT資產被盜事件。
先是3月15日,社交NFT代幣平臺Roll的熱錢包被盜,黑客從中盜取了部分WHALE和SKULL等NFT社交代幣,其中部分資金隨后被轉移到交易混合器Tornado。據分析稱,攻擊者在此過程中凈賺了約570萬美元的ETH。受影響的社交代幣價格大幅下跌。
緊接著的3月17日,NFT交易市場NiftyGateway的數名用戶遭遇了賬號被盜,有受害者稱,黑客從其帳戶中竊取了價值數千美元的數字藝術品;其他被黑客入侵的用戶稱,他們存檔的信用卡被用來購買額外的NFT。NiftyGateway后續的聲明中提到,遭遇盜號的賬戶因沒有啟用雙因素認證,而黑客通過有效賬號的認證信息獲得了訪問權限。
在非同質化代幣NFT越來越多的與收藏品、有價值的加密資產相連時,黑客的罪惡之手正在伸向NFT持有者的錢包,這也再次反映了NFT依托的區塊鏈網絡安全性的脆弱。
有經驗的用戶曾總結過NFT的攻擊向量,比如,黑客對你的電腦植入木馬病文件,盜取你的登錄信息和其他資料;或者通過惡意軟件記錄鍵盤輸入,竊取你的密碼;抑或通過惡意軟件來獲取屏幕截圖,從而獲得敏感信息;黑客還可能通過劫持DNS,創建釣魚頁面,騙取用戶錢包的助記詞。
這樣看下來,這些攻擊手段與黑客攻擊互聯網時所用的方式并無多大差異,但在互聯網應用上,用戶已經從自己或別人的經驗中獲得了一些防御意識,比如,不隨便點開陌生鏈接。但在使用區塊鏈網絡和加密錢包時,一些用戶變成了「常識歸零」的狀態,這與用戶對加密資產及區塊鏈基礎的陌生感有關,也再次說明區塊鏈基建在普及層面的不成熟。
普通用戶似乎只能從一起起的安全事故中去學習防范技能,普及安全常識也成為加密社區致力做的工作之一。
NFT創作者和收藏家JustinOuellette就曾在推特上科普過NFT資產的保護措施,「不要在多個平臺上重復使用相同相同的密碼;要學會啟用雙因素認證;要小心那些最小化元蒙版UI的網站;不要透露你的助記詞給任何人。」
資產被盜還僅僅是NFT安全的一個層面。近期,華中科技大學區塊鏈存儲研究中心和HashKeyCapitalResearch對NFT的研究報告顯示,NFT系統是由區塊鏈、存儲和網絡應用集合而成的技術,其安全保障具有一定的挑戰性,每一個組成部分都有可能成為安全的短板,致使整個系統受到攻擊,仿冒、篡改、抵賴、信息泄露、拒絕服務和權限提升等方面都是NFT系統存在的風險可能。
在安全之路上,NFT要走的道路還很遠。
頭條 ▌國家發改委將虛擬貨幣“挖礦”活動列入市場準入負面清單國家發改委向社會公開征求對《市場準入負面清單》意見,將虛擬貨幣“挖礦”活動列入淘汰類“一、落后生產工藝裝備”.
1900/1/1 0:00:00Web1是關于去中心化和社區管理的開放協議。大部分價值都得益于網絡的邊緣人物——用戶和建設者。Web2是關于由公司經營的孤立的、集中的服務.
1900/1/1 0:00:00DeFi數據 1.DeFi總市值:1235.08億美元 DeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:38.
1900/1/1 0:00:0012:00-21:00關鍵詞:以太坊鯨魚、Visa、《盜墓筆記》、BitDigital1.北京啟動新一輪數字人民幣試點活動;2.
1900/1/1 0:00:00在傳統的投資世界中,“獨角獸”一詞被用來指成立時間不超過10年、估值超過10億美元的未上市創業公司.
1900/1/1 0:00:00隨著流動性激勵的變化,BSC、Polygon、Heco等公鏈出現資金外流,而Solana、Avalanche、Terra、Fantom的TVL經歷了快速上升.
1900/1/1 0:00:00