作者:茉莉,蜂巢Tech
2月19日,全球最大的NFT交易平台OpenSea刚开始支持用户使用新合约,一些用户的NFT资产就被盗了。
次日,OpenSea的CEODevinFinzer在推特上披露,「这是一种网络钓鱼攻击。我们不相信它与OpenSea网站相关联。到目前为止,似乎有32个用户签署了来自攻击者的恶意有效载体,他们的一些NFT被盗。」Finzer称,攻击者钱包一度通过出售被盗NFT获得了价值170万美元的ETH。
用户NFT被盗后,不少人在推特上猜测,钓鱼攻击的链接可能隐藏在假冒的「OpenSea致用户」邮件中。因为19日当日,该交易平台正在进行一项智能合约升级,用户需要将列表迁移到新的智能合约中。攻击者很可能利用了这次的升级消息,将钓鱼链接伪装成通知邮件。
安全团队:4月近41个黑客攻击盗取9340万美元:金色财经报道,派盾(PeckShield)监测显示,2023年4月,约有41个黑客攻击盗取9340万美元。截止4月30日,1245枚ETH与2515枚BNB被转入Tornado Cash,203枚ETH转入Fixed Float。此外,jaredfromsubway.eth从涉及PEPE的三明治攻击中获得至少140万美元收益。[2023/5/1 14:36:51]
2月21日,OpenSea的官方推特更新回应称,攻击似乎不是基于电子邮件。截至目前,钓鱼攻击的来源仍在调查中。
OpenSea用户遭「钓鱼」丢失NFT
2月18日,OpenSea开始了一项智能合约的升级,以解决平台上的非活跃列表问题。作为合约升级的一部分,所有用户都需要将他们在以太坊上的NFT列表迁移至新的智能合约中,迁移期将持续7天,到美东时间的2月25日下午2点完成,迁移期间,用户NFT在OpenSea上的旧报价将过期失效。
动态 | Twitter CEO的推特账号被黑客攻击,赵长鹏呼吁用户使用YubiKey访问币安账户:独立调查记者Brian Krebs发推称,推特CEO Jack Dorsey的推特账号被黑客攻击,显然是被一群SIM交换者劫持了,这些人最近一直在瞄准高端人士和名人。也许这最终会引起人们对目前正在流行的SIM交换者的真正关注?我并没有对此报太大希望。 币安CEO赵长鹏转发其推文,并表示请为您的Binance帐户使用YubiKey,以保护用户资产安全。
注:7月,币安新增安全功能,用户可以绑定安全设备进行二次验证。Binance.com支持通过YubiKey进行API、登录、提现、重置密码操作,且可以自定义。[2019/8/31]
2月19日,用户需要配合完成的操作开始了。人们没有想到,在忙乱的迁移过程中,黑客的「黑手」伸向了OpenSea用户的钱包里。从用户们在社交平台的反馈看,大部分攻击发生在美东时间下午5点到晚上8点。
动态 | 已有价值近千万EOS偷跑 黑客销赃方式无规律可循:据PeckShield数字资产护航系统数据显示,“209万EOS偷跑事件”有了进一步动态,截至目前,黑客已经将总计44万个EOS分散转入火币、币安、Bitfinex、ChangeNOW交易所,价值近千万元。02月22日,PeckShield率先发现曾被ECAF冻结的账号gm3dcnqgenes出现异动,转走了209万个EOS。此后,PeckShield安全人员通过一段时间追踪发现,为逃避资产追踪,黑客先是将赃款分散至多个不同的EOS账号,在转移赃款时再分散转至多个不同的交易所,且逐渐倾向于小交易所。转入交易所后,黑客会将赃款通过EOS交易对转化为其他代币再进行抛售,销赃时间频次和交易额度并无规律可循。目前,损失209万EOS的受害者已经和我们联系请求追赃,PeckShield在火币、币安等交易所的协同下,正进一步追踪赃款流向,尽最大可能帮助受害者挽回损失。[2019/3/5]
从后来在以太坊浏览器上被标记为「网络钓鱼/黑客」的地址上看,19日晚18时56分,被盗的资产开始从黑客地址转移,并在2月20日10时30分出现了通过混币工具TornadoCash「洗币」的操作。
佛罗里达医疗补助缺口:预计会有更多的医疗保健黑客 区块链技术提供解决方案:佛罗里达州官员星期五晚些时候透露,两个月前,大规模的基于医疗补助计划可能已经暴露了3万名患者敏感的个人信息。数据泄露是由于一名员工在11月份遭受恶意“网络钓鱼”电子邮件的攻击,这只是网络犯罪分子渗透的医疗系统的最新例子。佛罗里达州的医疗补助缺口,可能让黑客获得了社会保险号码,病人的姓名,地址,医疗信息,出生日期,以及其他信息,都来源于网络钓鱼。预计在未来几年将会看到更多的用区块链技术来保护医疗保健数据。美国联邦调查局(FBI)已就网络钓鱼邮件和恶意软件的威胁向卫生保健组织发出严厉警告。[2018/1/9]
黑客链上地址的部分动向
用户NFT被盗后,「OpenSea被黑客攻击,价值2亿美元资产被盗」的说法开始在网络上蔓延,人们无从得知失窃案的准确原因,也无法确认到底殃及了多少用户。
直到2月20日,OpenSea的CEODevinFinzer才在推特上披露,「据我们所知,这是一种网络钓鱼攻击。我们不相信它与OpenSea网站相关联。到目前为止,似乎有32个用户签署了来自攻击者的恶意有效载体,他们的一些NFT被盗。」Finzer驳斥了「价值2亿美元的黑客攻击的传言」,并表示攻击者钱包通过出售被盗NFT获得了价值170万美元的ETH。
区块链安全审计机构PeckShield列出了失窃NFT的数量,共计315个NFT资产被盗,其中有254个属于ERC-721标准的NFT,61个为ERC-1155标准的NFT,涉及的NFT品牌包括知名元宇宙项目Decentraland的资产和NFT头像「无聊猿」BoredApeYachtClub等。该机构还披露,黑客利用TornadoCash清洗了1100ETH,按照ETH当时2600美元的价格计算,清洗价值为286万美元。
攻击者如何拿到用户「签单」授权?
用户NFT失窃事件发生后,有网友猜测,黑客利用了OpenSea升级的消息,将钓鱼链接伪造成通知用户的邮件,致使用户上当受而点击了危险链接。
对此,DevinFinzer表示,他们确信这是一次网络钓鱼攻击,但不知道钓鱼发生在哪里。根据与32名受影响用户的对话,他们排除了一些可能性:攻击并非源自OpenSea官网链接;与OpenSea电子邮件交互也不是攻击的载体;使用OpenSea铸造、购买、出售或列出NFT不是攻击的载体;签署新的智能合约不是攻击的载体;使用OpenSea上的列表迁移工具将列表迁移到新合约上不是攻击的载体;点击官网banner页也不是攻击的载体。
简而言之,Finzer试图说明钓鱼攻击并非来自OpenSea网站的内部。2月21日凌晨,OpenSea官方推特明确表示,攻击似乎不是基于电子邮件。
截至目前,钓鱼攻击到底是从什么链接上传导至用户端的,尚无准确信息。但获得Finzer认同的说法是,攻击者通过钓鱼攻击拿到了用户转移NFT的授权。
推特用户Neso的说法得到了Finzer的转发,该用户称,攻击者让人们签署授权了一个「半有效的Wyvern订单」,因为除了攻击者合约和调用数据之外,订单基本上是空的,攻击者签署了另一半订单。
该攻击似乎利用了Wyvern协议的灵活性,这个协议是大多数NFT智能合约的基础开源标准,OpenSea会在其前端/API上验证订单,以确保用户签署的内容将按预期运行,但这个合约也可以被其他更复杂的订单使用。
按照Neso的说法,首先,用户在Wyvern上授权了部分合约,这是个一般授权,大部分的订单内容都留着空白;然后,攻击者通过调用他们自己的合约来完成订单的剩余部分,如此一来,他们无需付款即可转移NFT的所有权。
简单打个比方就是,黑客拿到了用户签名过的「空头支票」后,填上支票的其他内容就搞走了用户的资产。
也有网友认为,在钓鱼攻击的源头上,OpenSea排除了升级过的、新的Wyvern2.3合约,那么,不排除升级前的、被用户授权过的旧版本合约被黑客利用了。对此说法,OpenSea还未给出回应。
截至目前,OpenSea仍在排查钓鱼攻击的源头。Finzer也提醒不放心的用户,可以在以太坊浏览器的令牌批准检查程序上取消自己的NFT授权。
作者:BTCdayu会议时间:2022年3月4日20:00会议内容:X2Y2民间交流会议主持:@BTCdayu??记录:@winkrypto提供支持议程:一是反馈上周会议情况;二是总结一周项目进.
1900/1/1 0:00:00链捕手消息,艺术和娱乐数字藏品市场LimeWire宣布将通过Algorand发行NFT并成为艺术家和粉丝创造、购买和交易数字收藏品的一站式市场.
1900/1/1 0:00:00作者:EdithYeung,RaceCapital合伙人原标题:《Web2.0InvestorsAren’tCutOutfortheWeb3World》编译:谷昱.
1900/1/1 0:00:00来源:Greylock博客编译:饼干,链捕手随着互联网下一阶段的快速发展,Web3与以往时代不同的核心原则是什么,它是如何受到人性深处的影响?此外,从早期汲取的经验教训是如何引导科技进步.
1900/1/1 0:00:00参考来源:@TheJunonaut、Zombit整理:胡韬,链捕手3月11日凌晨,Cosmos智能合约平台Juno在治理平台发起提案,拟升级合约并从鲸鱼玩家账户中删除JUNO资产.
1900/1/1 0:00:00RohamGharegozlou/DapperLabs创始人在《快公司》杂志公布的2022年全球最具创新力公司中,NFT开发商DapperLabs成为唯一入围的加密项目.
1900/1/1 0:00:00