摘要:據多名用戶反饋,由於OpenSea 昨日推出的新遷移合約(地址:0xa2c0946aD444DCCf990394C5cBe019a858A945bD)出現BUG,導致攻擊者(地址:0x3e0defb880cd8e163bad68abe66437f99a7a8a74)利用該bug竊取大量NFT 並賣出套利,失竊NFT 涵蓋BAYC 、 BAKC 、 MAYC 、 Azuki 、 Cool Cats 、 Doodles 、 Mfers 等多個藍籌系列。
據多名用戶反饋,由於OpenSea 昨日推出的新遷移合約(地址:0xa2c0946aD444DCCf990394C5cBe019a858A945bD)出現BUG,導致攻擊者(地址:0x3e0defb880cd8e163bad68abe66437f99a7a8a74)利用該bug竊取大量NFT 並賣出套利,失竊NFT 涵蓋BAYC 、 BAKC 、 MAYC 、 Azuki 、 Cool Cats 、 Doodles 、 Mfers 等多個藍籌系列。
名為“Jon_HQ”的用戶指出,攻擊者僅花費了750 美元的GAS 費,便利用OpenSea 漏洞“免費購買”大量藍籌NFT,其中包括4 個Azuki、2 個Coolman、2 個Doodle、1 個BAYC等。
美國時間週六晚,OpenSea在推特上發帖稱:“我們正在積極調查與OpenSea相關的智能合約存在漏洞的傳言。這似乎是源自OpenSea網站之外的網絡釣魚攻擊。不要點擊opensea.io之外的鏈接。”
美東時間晚上10 點50 分左右,OpenSea 首席執行官Devin Finzer 在推文中跟進說:“迄今為止,已有32 位用戶簽署了來自攻擊者的惡意交易,並且他們部分NFT 被盜了。”他補充說,該公司“不知道最近有任何網絡釣魚電子郵件已發送給用戶”,並暗示欺詐網站可能是罪魁禍首。
區塊鏈安全公司PeckShield 表示,傳聞中的漏洞利用“很可能是網絡釣魚”——一種隱藏在偽裝鏈接中的惡意合約。
OpenSea現在已經證實發生的是一次網絡釣魚攻擊,超過170萬美元的資產轉移到了惡意錢包上,現在標記為Fake_Phishing5169。
這個惡意錢包在去年12月進行了第一筆交易,但有關釣魚活動的報導直到昨天才開始。這個錢包還與另一個被標記為OpenSea網絡釣魚騙局的錢包有關聯。
在過去的24小時裡,大量底價很高的NFT收藏品被轉移,如Bored Ape Yacht Club NFT、Cool Cats、Doodles 和Azuki NFT。 Fake_Phishing5169 地址還通過競爭對手NFT 市場Rarible 和LooksRare 進行了交易。
OpenSea 首席執行官Devin Finzer 表示:“我們確信這是一次網絡釣魚攻擊。我們不知道網絡釣魚是在哪裡發生的。”但該公司認為,攻擊不是來自OpenSea的域名。
Finzer 說,“使用opensea.io 鑄造、購買、出售或列出物品不是攻擊的媒介。特別是,簽署新的智能合約(Wyvern 2.3 合約)不是攻擊的載體,”
他補充說:“我們正在積極與物品被盜的用戶合作,以縮小他們與之互動的一組常見網站的範圍,這些網站可能是造成惡意簽名的原因。”
Finzer 表示,雖然攻擊者的活動出現間歇性停頓,但OpenSea 仍在繼續調查情況。他還證實,推特用戶Neso 的帖子與他對所發生事情的理解“一致”。 Neso 表示,那些丟失資產的人簽署了一半有效的Wyvern 訂單,這是一個可以執行資產轉移的去中心化交易協議。
推特用戶@lazulcapital 發推稱,OpenSea 開發者也遭受釣魚攻擊。
PeckShield 在社交媒體發布相關交易記錄表示,OpenSea漏洞事件攻擊者已將攻擊所得部分NFT出售獲利後,已經向混幣器Tornado發送1100枚ETH進行洗錢。據統計已經有包括3只Bored Ape、25個NFTWorlds、37個Azuki等近百個NFT遭到被盜, 按照地板價計算,黑客至少獲取了420萬美元。
不管攻擊的來源是什麼,有些人對交易感到困惑。例如,為什麼網絡釣魚詐騙者在拿走了他的一些資產然後歸還之後,向naterivers.eth 發送了50 個以太坊(132,597 美元)?為什麼Tornado Cash 代理會隱藏某些目的地地址,而有些則不會?
為防止不必要的NFT 和以太坊代幣丟失,最好通過Etherscan 的代幣審批功能撤銷訪問權限,並考慮將有價值的資產轉移到硬件錢包中。
作者:Amy Liu
了解更多資訊歡迎加入:
0x新聞Discord 社群:https://discord.gg/QSvv7MZ2tz
0x新聞TG 交流群:https://t.me/BitPushCommunity
0x新聞TG 訂閱: https://t.me/bitpush
Twitter :https://twitter.com/BitpushNewsCN
本文來自0x新聞,文章鏈接: https://www.0xcj.com/articles/2252993 轉載需註明出處
