2月19日,全球最大的NFT交易平台OpenSea刚开始支持用户使用新合约,一些用户的NFT资产就被盗了。
次日,OpenSea的CEODevinFinzer在推特上披露,「这是一种网络钓鱼攻击。我们不相信它与OpenSea网站相关联。到目前为止,似乎有32个用户签署了来自攻击者的恶意有效载体,他们的一些NFT被盗。」Finzer称,攻击者钱包一度通过出售被盗NFT获得了价值170万美元的ETH。
用户NFT被盗后,不少人在推特上猜测,钓鱼攻击的链接可能隐藏在假冒的「OpenSea致用户」邮件中。因为19日当日,该交易平台正在进行一项智能合约升级,用户需要将列表迁移到新的智能合约中。攻击者很可能利用了这次的升级消息,将钓鱼链接伪装成通知邮件。
2月21日,OpenSea的官方推特更新回应称,攻击似乎不是基于电子邮件。截至目前,钓鱼攻击的来源仍在调查中。
欧易OKEx CEO JayHao:OEC第一期黑客马拉松已正式启动:据微博消息,欧易OKEx CEO JayHao表示,为了让更多开发者了解OEC,获取OEC最新进展,让OKT持币社区用户参与OEC生态治理,OEC已于6月6日正式启动第一期黑客马拉松线上活动。本次活动由开发者社区DoraHacks发起并联合OEC共同推动公链开放生态和应用落地。[2021/6/7 23:17:31]
OpenSea用户遭「钓鱼」丢失NFT
2月18日,OpenSea开始了一项智能合约的升级,以解决平台上的非活跃列表问题。作为合约升级的一部分,所有用户都需要将他们在以太坊上的NFT列表迁移至新的智能合约中,迁移期将持续7天,到美东时间的2月25日下午2点完成,迁移期间,用户NFT在OpenSea上的旧报价将过期失效。
印度播主Carry Minati的YouTube频道遭黑客入侵,被用于加密货币:印度顶级YouTuber Carry Minati(真名为Ajey Nagar)的第二个频道CarryisLive被黑客入侵,成为比特币的一部分。据报道,Carry Minati通常用CharryIslive发布游戏视频。该频道被入侵后,直播了两个名为“以太坊赚钱电话”和“慈善直播:帮助阿萨姆邦和比哈尔邦”的视频,要求用户捐赠比特币。这些视频已经被删除。
据此前报道,苹果联合创始人史蒂夫·沃兹尼亚克(Steve Wozniak)已就比特币赠品局起诉YouTube及其母公司Google。Wozniak是周二提起诉讼的18名原告之一,该诉讼寻求惩罚性赔偿,并将由陪审团进行审判。Wozniak要求YouTube删除使用其姓名和肖像进行的所有比特币赠品和促销活动。(Business Insider)[2020/7/25]
2月19日,用户需要配合完成的操作开始了。人们没有想到,在忙乱的迁移过程中,黑客的「黑手」伸向了OpenSea用户的钱包里。从用户们在社交平台的反馈看,大部分攻击发生在美东时间下午5点到晚上8点。
逾千名推特员工拥有内部权限,可协助黑客入侵帐户:两位推特前员工透露,截至今年年初,共有超过 1000 多名员工员工和承包商可以使用内部工具更改用户帐号设置,并将控制权提供给他人。这使得防范上周的大规模黑客攻击变得更加困难。推特公司和美国联邦调查局正在调查这起黑客入侵事件。推特拒绝对这一数字发表评论,也不肯透露具体数字是否在此次被黑事件发生前有所下降。但该公司表示,正在物色新的安全主管,希望加强系统安全,并培训员工防范外部攻击。(路透)[2020/7/24]
从后来在以太坊浏览器上被标记为「网络钓鱼/黑客」的地址上看,19日晚18时56分,被盗的资产开始从黑客地址转移,并在2月20日10时30分出现了通过混币工具TornadoCash「洗币」的操作。
动态 | EOS竞猜游戏SKR EOS遭黑客攻击:14日凌晨,EOS竞猜游戏SKR EOS遭黑客攻击,攻击者创建多个小号(backstairs11到backstairs15等)并结合推块攻击成功攻击SKR EOS?并获利上千个EOS。此前在6月12日,成都链安态势感知系统检测到EOS竞猜类游戏SKR EOS遭到预攻击,有攻击者通过合约不断发起延时交易,尝试预先计算或者得到游戏合约的开奖参数。[2019/6/14]
黑客链上地址的部分动向
用户NFT被盗后,「OpenSea被黑客攻击,价值2亿美元资产被盗」的说法开始在网络上蔓延,人们无从得知失窃案的准确原因,也无法确认到底殃及了多少用户。
直到2月20日,OpenSea的CEODevinFinzer才在推特上披露,「据我们所知,这是一种网络钓鱼攻击。我们不相信它与OpenSea网站相关联。到目前为止,似乎有32个用户签署了来自攻击者的恶意有效载体,他们的一些NFT被盗。」Finzer驳斥了「价值2亿美元的黑客攻击的传言」,并表示攻击者钱包通过出售被盗NFT获得了价值170?万美元的ETH。
区块链安全审计机构PeckShield列出了失窃NFT的数量,共计315个NFT资产被盗,其中有254个属于ERC-721标准的NFT,61个为ERC-1155标准的NFT,涉及的NFT品牌包括知名元宇宙项目Decentraland的资产和NFT头像「无聊猿」BoredApeYachtClub等。该机构还披露,黑客利用TornadoCash清洗了1100ETH,按照ETH当时2600美元的价格计算,清洗价值为286万美元。
攻击者如何拿到用户「签单」授权?
用户NFT失窃事件发生后,有网友猜测,黑客利用了OpenSea升级的消息,将钓鱼链接伪造成通知用户的邮件,致使用户上当受而点击了危险链接。
对此,DevinFinzer表示,他们确信这是一次网络钓鱼攻击,但不知道钓鱼发生在哪里。根据与32名受影响用户的对话,他们排除了一些可能性:攻击并非源自OpenSea官网链接;与OpenSea电子邮件交互也不是攻击的载体;使用OpenSea铸造、购买、出售或列出NFT不是攻击的载体;签署新的智能合约不是攻击的载体;使用OpenSea上的列表迁移工具将列表迁移到新合约上不是攻击的载体;点击官网banner页也不是攻击的载体。
简而言之,Finzer试图说明钓鱼攻击并非来自OpenSea网站的内部。2月21日凌晨,OpenSea官方推特明确表示,攻击似乎不是基于电子邮件。
截至目前,钓鱼攻击到底是从什么链接上传导至用户端的,尚无准确信息。但获得Finzer认同的说法是,攻击者通过钓鱼攻击拿到了用户转移NFT的授权。
推特用户Neso的说法得到了Finzer的转发,该用户称,攻击者让人们签署授权了一个「半有效的Wyvern订单」,因为除了攻击者合约和调用数据之外,订单基本上是空的,攻击者签署了另一半订单。
该攻击似乎利用了Wyvern协议的灵活性,这个协议是大多数NFT智能合约的基础开源标准,OpenSea会在其前端/API上验证订单,以确保用户签署的内容将按预期运行,但这个合约也可以被其他更复杂的订单使用。
按照Neso的说法,首先,用户在Wyvern上授权了部分合约,这是个一般授权,大部分的订单内容都留着空白;然后,攻击者通过调用他们自己的合约来完成订单的剩余部分,如此一来,他们无需付款即可转移NFT的所有权。
简单打个比方就是,黑客拿到了用户签名过的「空头支票」后,填上支票的其他内容就搞走了用户的资产。
也有网友认为,在钓鱼攻击的源头上,OpenSea排除了升级过的、新的Wyvern2.3合约,那么,不排除升级前的、被用户授权过的旧版本合约被黑客利用了。对此说法,OpenSea还未给出回应。
截至目前,OpenSea仍在排查钓鱼攻击的源头。Finzer也提醒不放心的用户,可以在以太坊浏览器的令牌批准检查程序上取消自己的NFT授权。
Web3,正持续且猛烈地冲击美国的金融体系。2月16日,纽交所向美国专利商标局提交的一份监管文件被公开。它希望建立一个“加密货币与NFT交易所”,并与OpenSea等Web3公司竞争.
1900/1/1 0:00:00众所周知,今年2月16日,摩根大通在Decentraland开设虚拟休息室OnyxLounge,成为首个进驻元宇宙的商业银行和金融服务机构.
1900/1/1 0:00:00背景介绍DAO作为一个新兴的技术和组织形态,有潜力改变整个社会。截至2021年3月,DAO生态系统管理资产已经达到9.3亿美元,并且其中还不包含使用DAO的组织形式或者使用独立DAO框架的加密协.
1900/1/1 0:00:001.历史轮回DAO能否成为新时代「荷兰东印度公司」?1602年,荷兰东印度公司成立,许多人认为这是世界上第一次首次公开募股——允许完全陌生的人购买股票所有权.
1900/1/1 0:00:002月26日,美国与欧盟、英国和加拿大发表共同声明,宣布禁止俄罗斯部分银行使用环球同业银行金融电讯协会国际结算系统。SWIFT即环球银行金融电信协会,在跨境资金清算领域地位不容置疑.
1900/1/1 0:00:00头条▌Messari:以太坊在2021年获得超100亿美元的现金流2月28日消息,据区块链分析公司Messari最新研究显示,在过去一段时间里,加密货币曾被人们怀疑.
1900/1/1 0:00:00