NFT:OpenSea CTO发布钓鱼攻击技术概要：外部攻击导致，并非OpenSea系统性问题_PEN

2月21日，OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉，这次攻击导致了大约300万美元资产被盗，包括无聊猿，Azuki和CloneX等知名NFT系列。作者：OpenSeaCTONadavHollander

本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要，包括提供一些web3方面的技术教育。

元宇宙UGC平台YAHAHA完成4000万美元A+轮融资，淡马锡和阿里巴巴联合领投:11月15日消息，元宇宙UGC平台YAHAHA完成4000万美元A+轮融资，本轮融资由淡马锡和阿里巴巴联合领投，三七互娱跟投，泰合资本担任独家财务顾问。融资款项将用于团队吸纳游戏行业头部人才，并进一步扩张北美和亚太地区业务版图。YAHAHA会通过工作室合作、加速器、全球活动、GameJams等多元化方式继续支持其超过10万的创作者群体。

据报道，公司于2022年4月发布了其产品的Alpha测试版本，海外地区用户已经能够在PC/Mac/移动端进行下载，且用户能够跨端同服进行互动。截止10月，YAHAHA的产品已吸引超10万用户注册与体验。在产品进一步推向市场的同时，YAHAHA团队也已经扩张至近200人规模，在上海、芬兰、首尔等地均设有办公室，据悉公司将进一步在其他地区设立办公室并招募当地团队。[2022/11/15 13:07:08]

在审查了这次攻击中的恶意订单之后，可以看出以下一些数据点：

Aglet活跃用户量突破350万，融资总额已达2400万美元:7月21日消息，虚拟鞋出行应用 Aglet 宣布旗下sneakverse社区活跃用户量已突破 350 万。Aglet 由阿迪达斯数字创新的前负责人 Ryan Mullins 创立，将 Pokemon Go 游戏方式融入虚拟运动鞋元宇宙，此前曾于 2020 年 12 月募集了 450 万美元，最近又完成了新一轮融资，虽然没有透露具体金额，但该公司表示截至目前的融资总额已经达到 2400 万美元。（venturebeat）[2022/7/21 2:29:41]

所有恶意订单都包含来自受影响用户的有效签名，表明这些用户确实在某个时间点某处签署了这些订单。但是，在签署之后时，这些订单都没有广播到OpenSea。

央行印发《金融机构反和反恐怖融资监督管理办法》，自8月1日起施行:4月16日消息，中国人民银行印发《金融机构反和反恐怖融资监督管理办法》（以下简称《办法》），自2021年8月1日起施行。《办法》进一步明确了金融机构反内部控制和风险管理要求。参照国际通行规则，要求金融机构应当开展和恐怖融资风险自评估，并根据风险状况和经营规模建立内部控制制度和相应的风险管理政策，进一步明确金融机构反组织机构、人力资源保障、反信息系统、反审计机制等要求。为防范境外分支机构反监管风险，明确金融机构对境外分支机构的管理要求。

《办法》根据我国金融行业发展现状，结合防范化解重大金融风险的要求，完善了反义务主体范围，将反有关规范性文件已明确的非银行支付机构纳入《办法》适用范围，增加网络小额贷款公司、银行理财子公司等反义务主体。[2021/4/16 20:28:19]

没有恶意订单针对新的合约执行，表明所有这些订单都是在OpenSea最新的合约迁移之前签署的，因此不太可能与OpenSea的迁移流程相关。

32名用户的NFT在相对较短的时间内被盗。这是非常不幸的，但这也表明了这是一场有针对性的攻击，而不是OpenSea存在系统性问题。

这些信息，再加上我们与受影响用户的讨论和安全专家的调查，表明由于意识到这些恶意订单即将失效，因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。

在这场网络钓鱼之前，我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。

例如，如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组，您会看到一个引用Wyvern的类型化数据有效负载，如果发生一些不寻常的事情，则会向你发出提醒。

“不要共享助记词或提交未知交易”，这种教育在我们的领域已经变得更加普遍。但是，签署链下消息同样需要同等的思虑。

作为一个社区，我们必须转向使用EIP-712类型数据或其他商定标准）来标准化链下签名。

在这一点上，您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的，但这种更改实际上使订单签署更加安全，因为你可以更好地看到你签的是什么。

此外，强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。

尽管攻击似乎是从OpenSea外部发起的，但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。