SEA:NFT交易平台被盗事件背后的攻与守_SEADOG币

加密圈的盗窃案已经不是新鲜事，甚至是平常事。最近，关于OpenSea交易平台被盗事件闹的沸沸扬扬，虽然自查的结果定论为外部攻击，而非平台系统性问题，但近300万美金资产损失已成定局，据DappRadar的数据显示，在黑客事件后，OpenSea上的用户活动迅速下降，平台上的用户活动至少下降了20%。那么，在一次次被盗事件发生的背后，是否有防范未然的措施可以采取？

安全认知深刻??防范却后知后觉

被黑客攻击的重灾区非常具有指向性，即充斥着大量资产交易体量的“当红赛道”，这已经成了黑客们的默契选择。就在本月初，一位NFT收藏家发推称自己的所有NFT头像被盗，价值高达1800万，希望寻求交易平台的帮助，针对此安全事件，OpenSea平台仅能对该藏主的地址和相关NFT进行了加红标记。而类似这样的被盗事件还有很多，很多用户表示，在自己毫无安全预警的情况下黑客就轻松实现了资产转移，黑客得手仿佛轻而易举。

CertiK：12月闪电贷攻击总额达760万美元:金色财经报道，据CertiKAlert数据显示，12月闪电贷攻击总额达760万美元，较11月的攻击总额520万美元有所增长。

其中，DeFi协议Lodestar Finance损失总额约650万美元。[2023/1/1 22:19:42]

借鉴行业内因盗窃案导致破产的事件教训，平台深知安全的重要性。但综合来看，整体行业的安全系数偏低。合约漏洞、交易漏洞等问题屡见不鲜，尽管平台搭配尽可能多的安全防范手段，持续进行例行的安全漏洞补丁，但被盗惨案似乎防不胜防，平台和用户承受着巨大的资金和信任损失，也只能在调取事件因果后进行攻击技术分析，意图通过总结相应的安全防范手段，提高行业的安全防线。不幸的是，有些漏洞错误仍旧低级，成功于钻空子或见招拆招，黑客的攻击手段也变得更多样。

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

黑客攻击手段有哪些？

过去1小时交易所的ETH数量（7d MA）再创历史新高:金色财经消息，据Glassnode数据显示，过去1小时交易所的ETH数量（7d MA）达7725685，再创历史新高。此前7月28日观察到的数量为7724661。[2022/7/31 2:50:03]

黑客攻击不止是区块链产业的特例，它将伴随全产业长期存在，任何赛道都将处于高度戒备状态。而作为其中的参与者，我们可以对黑客攻击手段做一个简单了解，做到知己知彼。以下简单介绍几个经常出现的类型：漏洞攻击、钓鱼攻击、量子攻击。

漏洞攻击是黑客们常用的手段，也是系统自身安全性不足引发的安全事件。漏洞又可以分为不同的形式。一种是逻辑漏洞，在去年的闪电贷攻击获利就是利用了资产流转的逻辑漏洞，空手套白狼式套利，令不法分子屡试不爽。一种是安全漏洞，即黑客扫描到区块链协议、智能合约机制、节点设备漏洞等安全缺陷，发起攻击。

西藏首个数字藏品成功上线发布:7月22日消息，7月21日，由拉萨市人民政府、西藏自治区经济和信息化厅和柳梧新区管委会共同指导的西藏首个数字藏品上线发布仪式在拉萨举行。 据介绍，西藏首个数字藏品《松赞干布之马首圣银壶》是基于西藏自治区工艺美术大师、西藏自治区级非物质文化遗产代表性传承人朵普·次嘎所作原始文物复制品的二创作品。

西藏首个数字藏品《松赞干布之马首圣银壶》原物保存在大昭寺，是西藏各民族交往交流交融的见证。数字藏品可实现真实可信的数字化发行、购买、收藏和使用。当日把《松赞干布之马首圣银壶》制作成数字藏品，对外发售10000份藏品以18元/份的价格，目前已售罄。（新华网）[2022/7/22 2:31:48]

钓鱼攻击，即外部来源的恶意攻击，本次OpenSea安全事件就是典型钓鱼攻击。通俗解释来说，就是用户外部点击了带有病或授权的信息，使得自己的信息暴露，又或者未分辨内容真假、受利益诱惑影响，导致事故的发生。就OpenSea解释说，本次事件是黑客趁着OpenSea合约升级之时，给所有用户的邮箱发送了一封钓鱼邮件，而不少用户错把其当作官方邮件而将自己的钱包授权，进而导致钱包被盗。

量子攻击，伴随量子计算机的出现，威胁性巨大，包括摩根大通等都在研究相关的抗量子攻击方案。值得关注的是，区块链是最容易受量子攻击的地带，黑客通过破解区块链关键构件加密算法和数字签名，不危言耸听地说，量子攻击对任何涉及公钥的安全都构成风险。伴随量子硬件的发展，行业应该高度关注量子计算和密码学的发展，意识到量子攻击可能带来的危险，在今天就采取行动。

平台的外援和用户的心智

尽管黑客攻击屡屡发生，给行业带来了巨大的打击，但在恶的反面是网络安全公司的越发壮大。来源于网络消息，全球信息安全和风险管理最终用户支出将以9.2％的五年复合年增长率增长，预计在2022年将达到1745亿美元，无疑，此类公司已经成为NFT平台升维网络安全的重要抓手。

客观情况来看，目前针对区块链的专业网络安全公司还在少数，主要还是来源于互联网赛道的安全服务。最近，网络安全服务商ERMProtect宣布将提供加密货币合规服务，IBM的X-ForceRed推出区块链网络安全服务,区块链网络安全公司Sollensys推出了数据安全产品SollensiumTM。与此同时，平台相关的链上安全产品合作也陆续开展，OpenSea平台曾表示正和第三方钱包服务一起“帮助用户更好地识别恶意签名请求，并采取其它措施帮助用户更有效地阻击和钓鱼攻击”。不久前，受某安全公司提醒，OpenSea及时修复安全漏洞，规避了潜在的危险发生。

总之，威胁行业健康的黑客只能是人人喊打的角色，在种种经历中，不止是平台，作为用户更要有一种危机意识。及时设置双重身份认证，进行产品的升级，使用安全系数更高的钱包设备，都可以尽可能降低盗窃案的发生。

标签：SEAGVCENSAMASEADOG币DGVC币Extensive Coinmetamask小狐狸钱包安卓版5.12.1

火必下载热门资讯