BTC/HKD-0.32%
ETH/HKD-0.07%
LTC/HKD+0.43%
DOT/HKD+0.06%
ADA/HKD+0.3%
SOL/HKD-0.31%
XRP/HKD+0.17%
DOGE/US+0.19%一、OpenSea事件描述
近日,OpenSea首席執行官Devin Finzer在一條推文表示:"到目前為止,有32個用戶簽署了來自攻擊者的入侵,他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。
"我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞,這似乎是源于OpenSea網站之外的釣魚攻擊。請不要點擊opensea.io以外的鏈接。"
SharkTeam第一時間對此事件進行了攻擊技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
二、OpenSea事件攻擊原理分析
攻擊者賬戶(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74
加州金融保護與創新部暫停加密借貸平臺Salt的許可證:金色財經報道,美國加州金融保護與創新部(DFPI)周三表示,隨著監管機構調查這家加密借貸平臺暫停客戶提款的決定,將暫停SALT的許可證30天。本周早些時候,由于加密交易所FTX崩潰的影響,Salt宣布暫停客戶提款和存款,在線投資平臺Bnk To The Future隨后宣布終止與Salt的不具約束力的收購意向書。[2022/11/17 13:14:54]
攻擊合約(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd
1. 創建攻擊合約
交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779
2. 發起攻擊
灰度資產管理總規模升至508億美元:金色財經報道,據官方推特消息,截至美東時間10月14日,灰度資產管理總規模升至508億美元。比特幣信托基金(GBTC)交易價格為每份44.91美元,較前一日上漲0.63%;以太坊信托基金(ETHE)交易價格為每份34.96美元,較前一日上漲6.75%。[2021/10/15 20:30:13]
以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad為例,
執行過程如下:
分析師Max Keiser:比特幣今年將較目前的34000美元飆升近550%:華爾街金融分析師、比特幣支持者Max Keiser認為,在央行寬松貨幣政策的支持下,比特幣今年將引發大規模反彈。Keiser在接受Stansberry Research的采訪時表示,他預計比特幣在今年年底前將較目前的34000美元飆升近550%。他還預測宏觀經濟將出現動蕩。(The Daily Hodl)[2021/1/6 16:34:52]
WyvernExchange合約atomicMatch函數如下:
其中,訂單簽名校驗requireValidOrder函數如下:
函數中包含了掛單授權(簽名)的校驗,因此,攻擊者發起攻擊交易,將NFT從原來持有者賬戶(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 記為0xf2d2)轉賬到攻擊者賬戶,需要獲取到賬戶0xf2d2的授權(簽名)。
攻擊者要想獲取到其他賬戶的簽名,可以通過以下方法:
(1)獲得賬戶的私鑰
(2)簽名重放攻擊
(3)通過網絡釣魚等詐騙方式獲取用戶的私鑰或者簽名。
這里,攻擊者明顯并沒有獲取到賬戶0xf2d2的私鑰,而且函數中有防止簽名重放的措施:
另外,也沒有從交易中發現簽名重放攻擊。
因此,我們分析,被攻擊的用戶意外簽署了來自攻擊者的惡意交易,攻擊者獲得了用戶的掛單授權,然后利用該授權簽名竊取了用戶的NFT。綜上所述,我們認為此次攻擊事件是由鏈下的網絡釣魚攻擊引起的,而不是鏈上合約代碼漏洞造成的。
三、X2Y2安全事件
無獨有偶,2022年2月18日,大V賬號(DiscusFish)在Twitter上面指出,NFT交易平臺X2Y2上面NFT掛單挖礦存在風險。
?
此外,還指出X2Y2上掛單挖礦模式所采用的交易 Exchange 合約是可升級合約,升級權限(proxyAdmin的owner)是官方單地址,理論上存在官方通過升級合約,然后轉走用戶NFT的可能。
X2X2團隊針對可升級合約的漏洞,采用多簽錢包和時間鎖對合約進行了修復:
四、安全建議
OpenSea被攻擊事件屬于網絡釣魚攻擊,而X2Y2的問題在于合約漏洞。鑒于此,我們提出以下建議:
1.項目方在開發過程中,要保證業務邏輯以及合約代碼的嚴謹性,選擇多家知名負責的審計公司進行多倫審計。
2. 項目參與者在涉足區塊鏈項目時請提高警惕,盡可能選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,在發起交易、簽名授權時要謹慎,盡可能地只通過官方指定的網站參與投資。
Tags:
利好兌現后價格仍然強勢 若站上2900美元箱體上軌,ETH將加速上漲 在倫敦升級之前,幾大交易平臺考慮到可能會有礦工會分叉產生糖果,紛紛發布空投預案公告。于是,有人認為,ETH近期的連續上漲是因為持有者可能獲得空投,一旦升級完畢,不管是否有糖果,ETH都會因為利好兌現而暴跌。 然而,出乎意料的是,倫敦升級順利完成,沒有出現礦工分叉,也沒有出現價格暴跌。
火爆的NFT目前有所降溫。 根據NFTGO的統計數據,從9月16日到9月22日,全球NFT市場購買者為22814人,7天環比下降35.67%;售出量為49982件,7天環比下滑43.65%,幾乎腰斬。 NFT究竟是數字時代的郁金香泡沫,還是開啟新世界大門的鑰匙?專家認為,當前NFT市場存在較大泡沫,這個泡沫正在一步步破碎。
今年 2 月以來,Mr.703 出售了 344 個 CryptoPunks,但仍持有 175 個。 這是 Loopify 在 2021 年 2 月對匿名的加密藝術收藏大咖「 Mr.703」所做 的采訪。 Mr.703 是一位匿名收藏家,他在 2017 年曾擁有超過 730 個 CryptoPunks,他聲稱這些都是免費獲得的(Gas 費用除外)。
一、OpenSea事件描述 近日,OpenSea首席執行官Devin Finzer在一條推文表示:"到目前為止,有32個用戶簽署了來自攻擊者的入侵,他們的一些NFT被盜。"并暗示可能是一個欺詐性網站造成的。 "我們正在積極調查與OpenSea相關的智能合約的漏洞傳聞,這似乎是源于OpenSea網站之外的釣魚攻擊。
今天來更新中國藝術合集第二彈,仕女圖。 仕女圖也就是美人畫,古往今來,無論是歐洲還是亞洲,窈窕淑女君子好逑是永恒不變的主題。 美人往往也是美的多種多樣的,有細腰楊柳,也有珠圓玉潤,有恭默守靜,也有古靈精怪。 下面就跟著大家們的畫來看看這些穿越千年的美人們。 調嬰圖 調嬰,指的是對自己進行教育 內人雙陸圖 雙陸,指的是一種棋盤游戲。
垃圾桶小破孩食物大戰貼紙卡將在線下商店及區塊鏈上啟動銷售 Topps Digital 新一年繼續發力,為收藏者帶來了顛覆性的新體驗!“ 2021 Topps 垃圾桶小破孩食物大戰!” 將在美國大型連鎖百貨沃爾瑪(Walmart)和塔吉特(Target)發售。
近期,Web3.0直接帶動資本熱情的,是國際知名投資機構的動作。 2月,全球最大風險投資之一的紅杉資本,宣布推出一支專注于投資Web3.0相關技術創業公司的基金,資金規模在5億至6億美元之間。美國知名私募股權投資公司貝恩資本也成立了5.8億美元的加密貨幣專門基金。 但相比于對元宇宙的高談闊論,更多投資人對它諱莫如深。
以太坊交易所
