OpenSea:OpenSea CTO发文回顾钓鱼攻击：外部攻击导致，并非自身系统性问题_opensea币单个价格

作者：OpenSeaCTONadavHollander

2月21日，OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉，这次攻击导致了大约300万美元资产被盗，包括无聊猿，Azuki和CloneX等知名NFT系列。

本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要，包括提供一些web3方面的技术教育。

FTX债权人：破产法庭要求6月30日为债权人提交索赔证明的截止日期:5月26日消息，据FTX无担保债权人委员会发推称，破产法庭于5月19日下令，规定6月30日16:00为债权人提交除“客户索赔”以外的所有索赔的索赔证明的截止日期。提交“客户索赔”的截止日期尚未确定，这将是债务人单独提出的动议的主题。[2023/5/26 9:44:59]

在审查了这次攻击中的恶意订单之后，可以看出以下一些数据点：

香港将允许散户投资者在新规则下交易主流加密货币，暂时禁止稳定币、自营交易、借贷等服务:5月23日消息，香港宣布散户投资者可以根据数字资产行业的新规则进行加密货币交易，香港证券及期货事务监察委员会（SFC）今日下午详细介绍了零售参与的咨询总结文件。预计个人投资者从 6 月 1 日开始在适当的保障措施下可以交易 BTC 和 ETH 等主流加密货币。

SFC 文件显示，对于规定非证券型代币须具有至少 12 个月往绩纪录的意见。稳定币的监管安排预计将于 2023/24 年实施。在稳定币于香港受到规管前，稳定币不应获纳入以供零售买卖。关于自营交易，SFC 同意交易平台上的流动性对客户来说十分重要。因此，SFC 允许由第三方做市商进行流动性提供活动。然而，现时禁止自营交易的规定是全面性的，并实际上禁止持牌虚拟资产交易平台的集团公司拥有任何虚拟资产的持仓。

SFC 表示，平台营运者不应提供与买卖特定虚拟资产相关的奖励活动。这项原则构成了规定平台营运者不应登载有关特定虚拟资产的任何广告的依据。关于虚拟资产市场上其他常见服务（例如收益、存款及借贷），SFC 不允许持牌虚拟资产交易平台提供这些服务。[2023/5/23 15:21:04]

所有恶意订单都包含来自受影响用户的有效签名，表明这些用户确实在某个时间点某处签署了这些订单。但是，在签署之后时，这些订单都没有广播到OpenSea。

近24小时NFT市场买家地址数量为5,282个:金色财经报道，据NFTGo数据显示，当前NFT市场情绪指数为25，等级为“Cool”。近24小时NFT市场买家地址数量为5,282个，卖家地址数量为5,795个。近30天盈利地址数量为89,590个，亏损地址数量为420,768个。

注：NFT市场情绪指数是根据波动率、交易量、社交媒体和谷歌趋势计算得出。[2023/5/14 15:01:19]

没有恶意订单针对新的合约执行，表明所有这些订单都是在OpenSea最新的合约迁移之前签署的，因此不太可能与OpenSea的迁移流程相关。

32名用户的NFT在相对较短的时间内被盗。这是非常不幸的，但这也表明了这是一场有针对性的攻击，而不是OpenSea存在系统性问题。

这些信息，再加上我们与受影响用户的讨论和安全专家的调查，表明由于意识到这些恶意订单即将失效，因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。

在这场网络钓鱼之前，我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。

例如，如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组，您会看到一个引用Wyvern的类型化数据有效负载，如果发生一些不寻常的事情，则会向你发出提醒。

“不要共享助记词或提交未知交易”，这种教育在我们的领域已经变得更加普遍。但是，签署链下消息同样需要同等的思虑。

作为一个社区，我们必须转向使用EIP-712类型数据或其他商定标准）来标准化链下签名。

在这一点上，您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的，但这种更改实际上使订单签署更加安全，因为你可以更好地看到你签的是什么。

此外，强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。

尽管攻击似乎是从OpenSea外部发起的，但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。

标签：OpenSeaENSSEAOPENopensea币单个价格ens币最新消息SEASOpen Sesame

MATIC热门资讯