“OpenSea漏洞事件”致使大量NFT被竊取多方分析疑為網絡釣魚攻擊


2月20日上午,“OpenSea新遷移合約疑似出現bug導致大量高價值NFT被竊取”一事引發熱議。

據多個推特KOL反映稱,該事件起因是OpenSea昨日推出的新遷移合約(地址:0xa2c0946aD444DCCf990394C5cBe019a858A945bD)疑似出現BUG,攻擊者(地址:0x3e0defb880cd8e163bad68abe66437f99a7a8a74)利用該bug竊取大量NFT並賣出套利,失竊NFT涵蓋BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers等多種高價值系列。

推特KOL“Jon_HQ”推文中指出,攻擊者總共花費了750美元的gas費,沒有支付ETH購買,但獲得了4個Azukis、2個Coolmans、2個Doodles、2個KaijuKings、1個MAYC、1個Cool Cat、1個BAYC……

Mr. Whale也在推特上表示,Opensea“漏洞利用”可以允許用戶出售、竊取任何用戶的任何NFT,損失已超過2億美元。

新遷移合約,是OpenSea發布的一項新升級。昨日,OpenSea宣布其智能合約升級已完成,新的智能合約已經上線,用戶遷移智能合約需簽署掛單遷移請求,簽署此請求不需要Gas費,無需重新進行NFT審批或初始化錢包。在遷移期間,舊智能合約上的報價將失效。英式拍賣將於合約升級完成後暫時禁用幾個小時,新合約生效後,可以再次創建新的定時拍賣。現有智能合約的荷蘭式拍賣將於北京時間2月26日3時在遷移期結束時到期。

隨後,gmDAO創始人Cyphr.ETH發推稱‌,黑客使用了標準網絡釣魚電子郵件複製了幾天前發生的“正版OpenSea”電子郵件,然後讓一些用戶使用WyvernExchange簽署權限。 OpenSea未出現漏洞,只是人們沒有像往常一樣閱讀簽名權限。

“OpenSea漏洞事件”致使大量NFT被竊取多方分析疑為網絡釣魚攻擊

安全公司PeckShield也表示,雖然未經證實,但Opensea黑客很可能是網絡釣魚。用戶按照網絡釣魚郵件中的指示授權“遷移”,而這種授權很不幸地允許黑客竊取有價值的NFTs……

以太坊智能合約編程語言Solidity的開發者foobar則分析稱‌,黑客使用30天前部署的一個助手合約,調用4年前部署的一個操作系統合約,使用有效的atomicMatch() 數據。這可能是幾個星期前的典型網絡釣魚攻擊。而不是智能合約漏洞,代碼是安全的。

“OpenSea漏洞事件”致使大量NFT被竊取多方分析疑為網絡釣魚攻擊

截止目前,OpenSea官方已針對此事展開調查,並發布推特回應稱‌:“我們正在積極調查與OpenSea智能合約有關的傳聞。這看起來像是來自OpenSea網站外部的網絡釣魚攻擊。不要點擊http://opensea.io之外的任何鏈接。”

“OpenSea漏洞事件”致使大量NFT被竊取多方分析疑為網絡釣魚攻擊

根據多位推特KOL和官方聲明,本次安全事件原因大概是外部網絡釣魚攻擊所致。但是也出現了一些不同的聲音。

OracleHawk首席執行官Jacob King在推特上發了一張代碼截圖並認為‌:“OpenSea現在撒謊並聲稱該漏洞實際上只是人們收到的網絡釣魚電子郵件。這100%不是真的,而是他們代碼中的一個缺陷導致了歷史上最大的NFT漏洞利用之一。”

“OpenSea漏洞事件”致使大量NFT被竊取多方分析疑為網絡釣魚攻擊

此次漏洞事件最終原因是什麼,仍需等待OpenSea的調查結果。巴比特持續關注中。

資訊來源:由0x資訊採集自互聯網。版權歸作者“巴比特資訊”所有,未經許可,不得轉載

Total
0
Shares
Related Posts