世界上最大的NFT 市場OpenSea 遭受了一個漏洞,導致數十個NFT 丟失。
該消息是在一些受影響的用戶發布一系列推文後發布的,他們聲稱他們的一些NFT 在單擊智能合約遷移鏈接後據稱丟失了。
“我們正在積極調查與OpenSea 相關的智能合約相關的漏洞利用的傳聞。 這似乎是源自OpenSea 網站之外的網絡釣魚攻擊。 不要點擊http://opensea.io 之外的鏈接。” 報導後不久,公海在推特上發布。
OpenSea 的首席執行官Devin Finzer 證實了這些投訴,稱迄今為止已有32 名用戶簽署了來自攻擊者的惡意有效載荷,從而將他們的賬戶暴露於漏洞利用之下。 Finzer 表示,該漏洞利用是一種與OpenSea 網站無關的網絡釣魚攻擊,進一步消除了有關被盜NFT 價值2 億美元的報導。
“攻擊者的錢包裡有170 萬美元的ETH,因為他出售了一些被盜的NFT。” 他寫了。
週六,OpenSea 呼籲用戶開始遷移他們的列表,作為其現有智能合約升級到新智能合約的計劃的一部分。超出截止日期的列表將過期,要求用戶重新上架他們的NFT。
專家認為,攻擊者計劃利用此窗口框架來執行漏洞利用,因為用戶在試圖趕上最後期限時很少注意安全性。
根據Etherscan 的說法,據Isotile 的開發人員稱,攻擊者似乎在28 天前就計劃了該漏洞利用,以期他會收集盡可能多的簽名。
“他開始發送帶有釣魚網站的電子郵件。” Isotile 發了推文。 “他們告訴你簽署一條消息以登錄/遷移到新的Opensea 智能合約,而不是簽署私人出售(0 eth)你的NFT 給黑客。”
在為遷移及時收集足夠的簽名後,攻擊者“執行智能合約功能以在NFT 列表到期之前竊取NFT。” 他之所以能夠這樣做,是因為他將受害者的簽名存儲在他的服務器上。
OpenSea 用戶活動在很大程度上是未經審查的,這使得該公司更難控制其活動。在撰寫本文時,避免進一步損失的唯一措施是讓用戶保持警惕並避免簽署或點擊任何超出OpenSea 設定的“一鍵產生影響”的鏈接。
資訊來源:由0x資訊編譯自BITCOININSIDER。版權歸作者Anonymous所有,未經許可,不得轉載
0X簡體中文版:在最新的“網絡釣魚攻擊”中,近200 萬美元的ETH 從OpenSea 用戶那裡被盜
