一、OpenSea事件描述
近日,OpenSea首席执行官Devin Finzer在一条推文表示:"到目前为止,有32个用户签署了来自攻击者的入侵,他们的一些NFT被盗。"并暗示可能是一个欺诈性网站造成的。
"我们正在积极调查与OpenSea相关的智能合约的漏洞传闻,这似乎是源于OpenSea网站之外的钓鱼攻击。请不要点击opensea.io以外的链接。"
SharkTeam第一时间对此事件进行了攻击技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
NFT市场LooksRare V2上线,协议费用将削减75%:4月7日消息,NFT市场LooksRare官方宣布V2版本上线,旨在进一步降低平台协议费用和Gas费用,以和Blur、OpenSea Pro展开竞争。根据LooksRare披露的信息显示,LooksRare V2的协议费用将大幅削减75%(从2%降至0.5%),Gas费用将减少50%,卖家也将会直接收到ETH而不是此前的WETH。此外,LooksRare还表示新版本允许在单笔交易中一次性批量列出和购买超过70种NFT,且交易将支持可重复使用的签名。[2023/4/7 13:49:19]
二、OpenSea事件攻击原理分析
攻击者账户(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74
攻击合约(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd
Otherdeed for Otherside系列NFT 24小时交易额涨幅接近500%:金色财经报道,据OpenSea数据显示,Otherdeed for Otherside系列NFT 24小时交易额为1590.97 ETH,增幅达498.5%,位列OpenSea榜首。[2022/9/9 13:18:02]
1. 创建攻击合约
交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779
2. 发起攻击
数据:BEANZ NFT最近24小时累计成交额达13647 ETH:5月6日消息,根据NFTScan浏览器数据显示,BEANZ NFT最近24小时累计成交额13647 ETH,成交了1308笔,平均成交价6.5ETH,最高成交价90ETH。[2022/5/6 2:54:18]
以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad为例,
执行过程如下:
Tezos与Aleph.im完成集成,为NFT提供跨链去中心化存储和计算网络服务:4月14日消息,Tezos与Aleph.im完成集成,为NFT提供跨链去中心化存储和计算网络服务,基于Tezos的dApp和交易市场能够利用Aleph的分布式计算和存储节点,并且Tezos NFT将通过将相应元数据本地备份到Aleph的去中心化网络来获得更高的安全性和持久性。
Aleph.im 首席执行官兼创始人 Jonathan Schemoul 表示,与 Tezos 集成能让用户更轻松地进行 NFT 备份,NFT 相关元数据副本会固定在 Aleph.im 网络核心通道节点,因此 Tezos 上的 NFT 市场能够使用 Aleph.im 的去中心化存储解决方案来安全地存储 NFT 及其元数据。(雅虎财经)[2022/4/15 14:25:21]
WyvernExchange合约atomicMatch函数如下:
其中,订单签名校验requireValidOrder函数如下:
函数中包含了挂单授权(签名)的校验,因此,攻击者发起攻击交易,将NFT从原来持有者账户(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 记为0xf2d2)转账到攻击者账户,需要获取到账户0xf2d2的授权(签名)。
攻击者要想获取到其他账户的签名,可以通过以下方法:
(1)获得账户的私钥
(2)签名重放攻击
(3)通过网络钓鱼等方式获取用户的私钥或者签名。
这里,攻击者明显并没有获取到账户0xf2d2的私钥,而且函数中有防止签名重放的措施:
另外,也没有从交易中发现签名重放攻击。
因此,我们分析,被攻击的用户意外签署了来自攻击者的恶意交易,攻击者获得了用户的挂单授权,然后利用该授权签名窃取了用户的NFT。综上所述,我们认为此次攻击事件是由链下的网络钓鱼攻击引起的,而不是链上合约代码漏洞造成的。
三、X2Y2安全事件
无独有偶,2022年2月18日,大V账号(DiscusFish)在Twitter上面指出,NFT交易平台X2Y2上面NFT挂单挖矿存在风险。
此外,还指出X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约,升级权限(proxyAdmin的owner)是官方单地址,理论上存在官方通过升级合约,然后转走用户NFT的可能。
X2X2团队针对可升级合约的漏洞,采用多签钱包和时间锁对合约进行了修复:
四、安全建议
OpenSea被攻击事件属于网络钓鱼攻击,而X2Y2的问题在于合约漏洞。鉴于此,我们提出以下建议:
1.项目方在开发过程中,要保证业务逻辑以及合约代码的严谨性,选择多家知名负责的审计公司进行多伦审计。
2. 项目参与者在涉足区块链项目时请提高警惕,尽可能选择更稳定、更安全,且经过完备多轮审计的公链和项目,在发起交易、签名授权时要谨慎,尽可能地只通过官方指定的网站参与投资。
标签:NFTOpenSeaPENOPEN元宇宙app官方版下载nftBOpenSeaOpen SesameOpen Campus
本文由公号"老雅痞"(laoyapicom)授权转载在SushiSwap出现领导力危机和我自己在金融界有了一些地位之后,我开始更多的思考关于组织实际结构的治理问题.
1900/1/1 0:00:00面对五月下旬币圈大跳水的行情,整个加密市场都充斥着极度惶恐的情绪。尽管DeFi一直被寄予厚望,但也未能抵抗住此番压力,锁仓量几近腰斩.
1900/1/1 0:00:00飙升的比特币价格,极大地提高了其在以太坊区块链上的数字黄金价值。但因为价格的上涨也使以太坊上比特币的数量减少了。在以太坊有超过 136,000 比特币,现在价值 49 亿美元,创历史新高.
1900/1/1 0:00:00元宇宙吸引着大家的好奇心,但虚拟土地的价格已经让许多想参与的人望而却步。有那么一群人,为了让元宇宙中的生活更易于访问,正在默默做出努力.
1900/1/1 0:00:00在 70% 的情况下,0x API 所提供的调整后价格优于?1inch、Dex Ag、Paraswap 和 Uniswap。所谓的调整后价格,就是支付完交易费后的价格.
1900/1/1 0:00:00市场上对于DAO的讨论与研究数不胜数,但大多都是关于DAO的历史发展、定义和作用,目前还有没就DAO的自治“A”程度进行分类的相关内容.
1900/1/1 0:00:00