NFT:签名就被盗NFT！opensea协议被攻击！小心小心！_Etherael指什么寓意

NFT被盗的各个手法大家应该经过这么久的市场教育已经比较熟悉了，主要是通过诱导你点击某个按钮触发approve事件将你的NFT授权给别人，从而对方可以转移走，这种手法其实已经识别度很高了，毕竟它需要把小狐狸弹出来后，让你交一笔gas费完成approve操作，一到了交钱的时候毕竟大家也会意识到有问题了，但是我今天要讲的这个手法真的让我后背发凉，如果我的朋友没有遇到我真的不会意识到，如果我遇到了我也一定会中招！所以大半夜的在凌晨3点我需要将它写下来分享给大家，请转发预警周围的朋友们！

今天晚上我的一位朋友说他登录了一个假冒网站，然后仅仅进行了签名，所有授权给opensea即曾经挂过单的NFT均被转走了！这个假冒网站是冒充最近因空投大热的Blur，所以每当出现这种行业热度很高的事情时就一定会冒出来几个浑水摸鱼捞一把的黑客们。

OpenDAO多重签名钱包已有超过10个候选人:金色财经报道，OpenDAO核心贡献者9x9x9发推称，OpenDAO多重签名钱包已有超过10个候选人。20%的SOS将被转移到多重签名钱包。一旦选举完成，staking智能合约的所有者将被转移到多重签名。[2021/12/29 8:11:17]

这是它被盗的那笔交易记录，可见在一笔交易中5个NFT被转走了。

然后我们看到这个交易的发起方form已经被标记为钓鱼地址，下面的交互合约地址旁边有一个Seaport字样，还被打了一个绿色的对勾。

动态 | CSDN头条介绍ARPA门限签名技术:中文IT技术交流平台CSDN首页分享ARPA门限签名技术。ARPA密码学家苏博士在本文中从技术原理出发，探讨密码学，区块链，安全多方计算与门限签名之间的关系。并讨论不同签名范式的优缺点，列举门限签名的应用场景，从而让读者快速了解门限签名。

ARPA的企业密钥管理模块中门限签名方案已经支持椭圆曲线数字签名协议的ED25519参数组，未来会兼容更广泛的数字签名算法。[2020/1/8]

那可能是和这个Seaport合约进行了交互才导致被盗的？但是这个合约被打了绿标应该是健康认证过的呀，Seaport是什么呢？

Seaport是opensea在今年5月20日推出的一个NFT交易协议，用于取代已经使用了4年之久的Wyvern，它的本质就是一个处理NFT交易的订单薄智能合约，也就是你所有在opensea进行的NFT交易行为挂单、offer等全部走的这个协议，这是opensea官方的协议，怎么可能会出问题呢？

声音 | Andrew Poelstra：比特币可通过Schnorr签名获得更好的可扩展性和安全性:据ambcrypto消息，在近日BCH将Schnorr签名添加到网络中，以提高安全性并加快交易速度后。Blockstream研究员Andrew Poelstra最近表示，比特币可通过Schnorr签名获得更好的可扩展性和安全性。Poelstra表示，比特币之所以使用ECDSA，是因为它有开放的SSL库，在比特币的早期发展过程中，它的核心密码技术完全依赖于开放的SSL。他表示，在规模和性能特征方面，Schnorr签名提供了与ECDSA类似的替代方案，但它使比特币能够轻松实现网络中的一些“非绑定协议”，实施Schnorr签名将有助于创建多个签名。[2019/5/27]

动态 | NBA球员签名球鞋接受加密货币支付:据新浪区块链消息，NBA球员斯宾瑟?丁维迪（Spencer Dinwiddie）在接受Bleacher Report采访时，表示自己一直在关注比特币价格。另外球鞋品牌Project Dream即将推出的斯宾瑟?丁维迪签名球鞋将接受加密货币支付。[2018/10/15]

然后我打开了被盗NFT的交易，发现其被执行了MatchOrders操作从而被转移给了另一个地址，MatchOrders即Seaport中匹配到了订单，看着像是你情我愿呀这不是Match到了吗？

为了帮我的朋友破案，我壮着胆子试，打开了这个钓鱼网站并连接钱包，然后出现了一个签名，看着挺正常的人畜无害，但里面肯定有鬼我不敢点，先放在一边。

15万韩国人签名的请愿书已经提交给韩国青瓦台 反对政府禁止虚拟货币交易:据推特媒体人Joseph Young消息，收集了153271签名的请愿书已经提交给韩国青瓦台，反对禁止以比特币为首的虚拟货币交易，同时也反对发布针对性的严苛法规。此前，韩国方面被曝出将全面禁止虚拟货币交易市场，虽然司法部长迫于压力态度软化，但是具体后续措施尚未披露。Joseph Young为CoinTelegraph、CCN和Hacked等区块链行业媒体供稿，主要关注东亚地区行情。[2018/1/14]

因为Seaport是opensea的NFT交易协议，然后我朋友说他所有挂单的NFT均被盗了，并且刚才看到是执行了协议内的MatchOrder即匹配到了买家完成成交，挂单的逻辑就是我将某个NFT背后的collection执行approve方法授权给opensea，让opensea有权限转移我的NFT即托管，这个过程是要交gas费的，然后我再将某个NFT挂单时则是进入到opensea链下的订单薄中即Seaport中，当有人对该订单进行交易时opensea再进行链上资产转移操作，那我来到opensea试着挂一个看看Seaport到底在搞什么鬼。

当我点击listing后，卧槽出来的签名居然和我刚才在钓鱼网站遇到的一模一样！这说明什么，大胆推演，钓鱼网站执行了Seaport让我在不知情的情况下在opensea进行了交易！

我们来看一点钓鱼网站弹出的签名中到底都有什么内容。

首先有一个itemType，它指的是本次交易的目标资产类型，1、2、3分别表示ERC20、721和1155，所以它是要盯着我的NFT啊。

然后offerer字段里面是我的地址，Seaport中若itemType为NFT类型即ERC721/1155，则offerer是卖方要把自己的NFT卖出去，若为ETH/ERC20这种“钱”的则offerer是买方来花钱买NFT的，所以这里填写的是我的地址，太歹了这个签名里面居然要把我的NFT转出去！

然后我们再往下看，token字段里面有一串地址。

我把它复制粘贴到opensea打开后，歹，歹啊！居然要偷走我的熊市之光debox小企鹅！

而正如之前分析的一样，debox也恰好就是我曾经在opensea挂单过的NFT！

再往下看，recipient字段中是一个我很陌生的地址。

我将该地址复制后在我朋友被盗的那个交易中进行检索后，果然出现在了里面命中了！

所以是该假冒网站调用了Seaport协议让我对opensea进行了操作从而转移走了我的NFT，具体的机理还需要深入研究，但是Seaport作为opensea官方协议居然出现了这种问题，一定是需要负有责任的，至少应该要做到鉴权，用随机数验证交易来源也可以一定程度避免该问题。我不知道中招的人有多少，但是请大家一定铭记如果你在签名时遇到了如上我截图的Seaport字样，以及签名内容中包括了offerer等，请一定要谨慎！我们BuidlerDAO孵化的防钓鱼安全插件www.metashield.cc也会尽快想办法将该风险识别更新上去！请转发让更多人预警，也强烈要求opensea出具该问题的解决方案。

转自Jasonchen

标签：NFTatcETHNFT价格NFT币atc币是什么币ETH钱包地址ETH挖矿app下载Etherael指什么寓意

酷币交易所热门资讯