NFT被盗的各个手法大家应该经过这么久的市场教育已经比较熟悉了,主要是通过诱导你点击某个按钮触发approve事件将你的NFT授权给别人,从而对方可以转移走,这种手法其实已经识别度很高了,毕竟它需要把小狐狸弹出来后,让你交一笔gas费完成approve操作,一到了交钱的时候毕竟大家也会意识到有问题了,但是我今天要讲的这个手法真的让我后背发凉,如果我的朋友没有遇到我真的不会意识到,如果我遇到了我也一定会中招!所以大半夜的在凌晨3点我需要将它写下来分享给大家,请转发预警周围的朋友们!
今天晚上我的一位朋友说他登录了一个假冒网站,然后仅仅进行了签名,所有授权给opensea即曾经挂过单的NFT均被转走了!这个假冒网站是冒充最近因空投大热的Blur,所以每当出现这种行业热度很高的事情时就一定会冒出来几个浑水摸鱼捞一把的黑客们。
徐明星:OKX Web3钱包开始开源所有链的签名算法:7月17日消息,徐明星在社交媒体上表示,OKX Web3钱包开始开源所有链的签名算法。我们希望能为行业做一点小小的贡献。[2023/7/17 11:00:03]
这是它被盗的那笔交易记录,可见在一笔交易中5个NFT被转走了。
然后我们看到这个交易的发起方form已经被标记为钓鱼地址,下面的交互合约地址旁边有一个Seaport字样,还被打了一个绿色的对勾。
NFTSCAN浏览器推出NFT Collection签名认证功能:2月17日消息,NFTSCAN浏览器宣布近日上线了NFT Collection签名认证功能,支持NFT合约开发者和项目方对其部署的NFT Collection项目进行签名认证,并提交相关基础资料和社交信息。[2022/2/17 9:58:33]
那可能是和这个Seaport合约进行了交互才导致被盗的?但是这个合约被打了绿标应该是健康认证过的呀,Seaport是什么呢?
Seaport是opensea在今年5月20日推出的一个NFT交易协议,用于取代已经使用了4年之久的Wyvern,它的本质就是一个处理NFT交易的订单薄智能合约,也就是你所有在opensea进行的NFT交易行为挂单、offer等全部走的这个协议,这是opensea官方的协议,怎么可能会出问题呢?
ENS DAO的首个提案通过,资金和关键管理控制权将从多重签名转移到DAO:11月29日消息,ENS DAO于11月18日提交的首个提案“转让ENS资金和合约所有权”于今天通过,ENS的资金控制权和和合约所有权将从ENS Multisig转移到ENS DAO,即请求将资金和关键管理控制从多重签名转移到DAO。[2021/11/29 12:39:09]
然后我打开了被盗NFT的交易,发现其被执行了MatchOrders操作从而被转移给了另一个地址,MatchOrders即Seaport中匹配到了订单,看着像是你情我愿呀这不是Match到了吗?
为了帮我的朋友破案,我壮着胆子试,打开了这个钓鱼网站并连接钱包,然后出现了一个签名,看着挺正常的人畜无害,但里面肯定有鬼我不敢点,先放在一边。
安全研究人员披露Ledger签名安全漏洞 漏洞或导致用户资金被盗:安全研究人员Monokh撰文披露加密货币钱包Ledger硬件钱包存在的安全漏洞。Monokh指出,该漏洞可能导致用户资金被盗。Ledger会在除比特币之外的应用程序上公开比特币(主网)密钥和签名信息,会提供误导性的交易确认请求。以比特币和莱特币应用程序为例,漏洞攻击路径为:1.打开莱特币应用程序;2.获取比特币隔离见证地址;3.根据地址查看UTXOs;4.发起比特币交易并发送给Ledger设备要求签名;5.得到有效的已签名比特币交易信息。Ledger本应在上述第二、第四步骤中识别错误并对其进行阻止,但仍然提示用户进行交易。所有固件版本和App版本均受到此漏洞影响。Monokh建议Ledger在实时应用程序目录上禁用山寨币(Altcoin)应用程序,直至发布修补程序。根据漏洞披露进程表,2019年1月份,Monokh最初于2019年1月份向Ledger披露与隐私相关的安全漏洞,随后,Ledger更新了固件但未对应用程序进行更新,并表示在更新应用程序后将立即公开漏洞。2019年4月份,Monokh再次联系Ledger要求更新应用程序,但未得到反馈。今年5月份,Monokh将该漏洞的根本原因在签名功能方面,这可能会导致用户资金被盗。此后,Ledger称正在调查该漏洞。之后Monokh多次联系Ledger并要求披露漏洞并对其进行修复,但未得到回应,Ledger也没有修复或披露相关漏洞。[2020/8/5]
HyperPay钱包引入基于ECDSA算法的门限签名密码技术:据官方消息,HyperPay钱包日前引入了基于ECDSA算法的门限签名高级密码技术,并在高安全硬件密码机中应用,升级钱包链上链下服务安全性能。该套技术方案通过多台HSM加密交互,联合算出最终签名,避免链上多签漏洞,降低链上多签手续费。
这是业内首次实现将TSS技术和HSM技术结合,打造出最高安全等级的托管产品和钱包产品。该技术的应用,可有效规避类似2017年Ethereum爆发的因多签合约漏洞造成的上亿美金损失的案例。[2020/7/22]
因为Seaport是opensea的NFT交易协议,然后我朋友说他所有挂单的NFT均被盗了,并且刚才看到是执行了协议内的MatchOrder即匹配到了买家完成成交,挂单的逻辑就是我将某个NFT背后的collection执行approve方法授权给opensea,让opensea有权限转移我的NFT即托管,这个过程是要交gas费的,然后我再将某个NFT挂单时则是进入到opensea链下的订单薄中即Seaport中,当有人对该订单进行交易时opensea再进行链上资产转移操作,那我来到opensea试着挂一个看看Seaport到底在搞什么鬼。
当我点击listing后,卧槽出来的签名居然和我刚才在钓鱼网站遇到的一模一样!这说明什么,大胆推演,钓鱼网站执行了Seaport让我在不知情的情况下在opensea进行了交易!
我们来看一点钓鱼网站弹出的签名中到底都有什么内容。
首先有一个itemType,它指的是本次交易的目标资产类型,1、2、3分别表示ERC20、721和1155,所以它是要盯着我的NFT啊。
然后offerer字段里面是我的地址,Seaport中若itemType为NFT类型即ERC721/1155,则offerer是卖方要把自己的NFT卖出去,若为ETH/ERC20这种“钱”的则offerer是买方来花钱买NFT的,所以这里填写的是我的地址,太歹了这个签名里面居然要把我的NFT转出去!
然后我们再往下看,token字段里面有一串地址。
我把它复制粘贴到opensea打开后,歹,歹啊!居然要偷走我的熊市之光debox小企鹅!
而正如之前分析的一样,debox也恰好就是我曾经在opensea挂单过的NFT!
再往下看,recipient字段中是一个我很陌生的地址。
我将该地址复制后在我朋友被盗的那个交易中进行检索后,果然出现在了里面命中了!
所以是该假冒网站调用了Seaport协议让我对opensea进行了操作从而转移走了我的NFT,具体的机理还需要深入研究,但是Seaport作为opensea官方协议居然出现了这种问题,一定是需要负有责任的,至少应该要做到鉴权,用随机数验证交易来源也可以一定程度避免该问题。我不知道中招的人有多少,但是请大家一定铭记如果你在签名时遇到了如上我截图的Seaport字样,以及签名内容中包括了offerer等,请一定要谨慎!我们BuidlerDAO孵化的防钓鱼安全插件www.metashield.cc也会尽快想办法将该风险识别更新上去!请转发让更多人预警,也强烈要求opensea出具该问题的解决方案。
转自Jasonchen
过去两年因为加密货币增长迅速,催生了大量加密货币的对冲基金。请注意是对冲基金,对冲基金是主动管理型基金,收取高额管理费用,寻找超出大盘的高额收益.
1900/1/1 0:00:00迈克·诺沃格拉茨怀疑比特币最近的价格上涨是美国政府采取纠正性经济措施的结果。 亿万富翁、前对冲基金经理迈克·诺沃格拉茨最近认为,政府在冠状病方面投入的资金可能是近期主流市场和加密市场反弹的原因.
1900/1/1 0:00:00原文:@hodlKRYPTONITE翻译:@BTCdayu为方便阅读,将原作者不同线程推文进行了梳理整合,一文读懂。首先,我只是一个没有内幕消息的失业懒人.
1900/1/1 0:00:00随着ETH2.0存款合约的上线,市场对于Staking经济的关注度逐渐升温。区哥关注这一赛道也有一段时间了,今天想聊一聊Staking经济赛道有哪些参与者,又有哪些玩法.
1900/1/1 0:00:00近日,与“BTC减半”、“以太坊2.0上线”并称为“2020年区块链投资最受关注的三大事件”的“Filecoin上线”备受关注.
1900/1/1 0:00:00在比特币往牛市飞速迈进的过程中,比特币市值已经超过了另一家主要的美国公司。随着11月18日比特币价格短暂突破18000美元,比特币的市值飙升至3360亿美元以上,超过了英伟达的市值.
1900/1/1 0:00:00