OPEN:“OpenSea漏洞事件”致使大量NFT被窃取,多方分析疑为网络钓鱼攻击_blueseachain

2月20日上午,“OpenSea新迁移合约疑似出现bug导致大量高价值NFT被窃取”一事引发热议。

据多个推特KOL反映称,该事件起因是OpenSea昨日推出的新迁移合约疑似出现BUG,攻击者利用该BUG窃取大量NFT并卖出套利,失窃NFT涵盖BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多种高价值系列。

新迁移合约,是OpenSea发布的一项新升级。昨日,OpenSea宣布其智能合约升级已完成,新的智能合约已经上线,用户迁移智能合约需签署挂单迁移请求,签署此请求不需要Gas费,无需重新进行NFT审批或初始化钱包。在迁移期间,旧智能合约上的报价将失效。英式拍卖将于合约升级完成后暂时禁用几个小时,新合约生效后,可以再次创建新的定时拍卖。现有智能合约的荷兰式拍卖将于北京时间2月26日3时在迁移期结束时到期。

耐克“Our Force 1”Box一般访问计划销售结束,总铸造量达97,628个收入近200万美元:金色财经报道,耐克旗下 Web3 可穿戴设备平台.Swoosh在社交媒体表示,其推出的首个数字运动鞋系列“Our Force 1”Box一般访问计划销售已正式结束,后续将发布更多信息。根据Dune Analytics数据显示,“Our Force 1”Box总铸造量达到 97,628个,占发行总量的91,71%,这意味着仍有8,825个“Our Force 1”Box未被铸造。此外耐克“Our Force 1”Box在本次一般访问计划销售活动中总计创造了约193.4万美元的铸造收入。[2023/6/2 11:53:17]

推特KOL“Jon_HQ”在推文中指出,攻击者总共花费了750美元的gas费,没有支付ETH购买,但获得了4个Azukis、2个Coolmans、2个Doodles、2个KaijuKings、1个MAYC、1个CoolCat、1个BAYC……

加密艺术家Beeple发布Yuga Labs元宇宙新作品“Otherside”:2月19日消息,加密艺术家Beeple在社交媒体发布与Yuga Labs元宇宙相关的全新作品“Otherside”,其中展示了“无聊猿”BAYC的吉祥物Curtis眺望未来城市,整个城镇的广告牌上都是各种NFT,在Beeple对The Otherside作品的解释中,广告牌上的NFT项目包括Cryptodickbutts、Mutant Apes、CoolCats、Nouns、World Of Women、Meebits、CryptoPunks和Toadz,大部分来自Yuga Labs在2022年3月第一部Otherside预告片中列出的NFT系列。

此前,Beeple创作的NFT作品《Everydays: The First 5000 Days》以约6930万美元(42329.453 ETH)成功竞拍,创下迄今为止数字艺术拍卖最高记录。[2023/2/19 12:15:30]

元宇宙生态平台“Oasis”获千万美元B轮融资:3月7日消息,元宇宙互动社交平台“Oasis”已于近日完成千万级美元B轮融资,领投方为五源资本、绿洲资本、BAI资本,回音资本担任独家财务顾问。本轮融资完成后,Oasis将持续进行产品迭代工作,并在全球范围内拓展国际化人才,提升不同市场的产品运营和用户服务能力,而为创作者打造的虚拟经济体系有机会在年内上线。(鞭牛士)[2022/3/7 13:41:45]

Mr.Whale也在推特上表示,Opensea“漏洞利用”可以允许用户出售、窃取任何用户的任何NFT,损失已超过2亿美元。

声音 | Libra无许可版本“OpenLibra”创建者最初公布的项目参与者信息有误:Libra无许可版本“OpenLibra”的创建者最初介绍的项目参与者信息有误,目前已有4个人和组织否认参与该项目,还有人指出,他们的参与程度被夸大了。据悉,该项目于10月9日在Devcon上公布。

区块链创业公司Tendermint Inc.的核心开发人员Sunny Aggarwal表示:“我参加了一个社区的OpenLibra活动。在那之后我什么都没做。在我的名字出现在(介绍OpenLibra项目的)幻灯片上之前,没人问过我。”除了Aggarwal,来自Chainlink、Web3基金会和Hashed的代表亦表示,他们的名字也是未经允许就被使用了。OpenLibra项目的创始人Lucas Geiger后来已就此事向当事人道歉。

Geiger并没有确认周三公布的30个名单中哪些是“潜在合作伙伴”,哪些是OpenLibra项目的实际合作伙伴。到目前为止,有9个人直接确认参与了OpenLibra计划。(CoinDesk)[2019/10/11]

随后,就在众人热议之际,“OpenSea事件”的发展出现了转折,攻击似乎并非BUG导致。

gmDAO创始人Cyphr.ETH发推表示,黑客使用了标准网络钓鱼电子邮件复制了几天前发生的“正版OpenSea”电子邮件,然后让一些用户使用WyvernExchange签署权限。OpenSea未出现漏洞,只是人们没有像往常一样阅读签名权限。

安全公司PeckShield也表示,虽然未经证实,但Opensea黑客很可能是网络钓鱼。用户按照网络钓鱼邮件中的指示授权“迁移”,而这种授权很不幸地允许黑客窃取有价值的NFTs……

以太坊智能合约编程语言Solidity的开发者foobar则分析称?,黑客使用30天前部署的一个助手合约,调用4年前部署的一个操作系统合约,使用有效的atomicMatch()数据。这可能是几个星期前的典型网络钓鱼攻击。而不是智能合约漏洞,代码是安全的。

截止目前,OpenSea官方已针对此事展开调查,并发布推特回应称?:“我们正在积极调查与OpenSea智能合约有关的传闻。这看起来像是来自OpenSea网站外部的网络钓鱼攻击。不要点击http://opensea.io之外的任何链接。”

根据多位推特KOL和官方声明,本次漏洞事件原因基本上应该是外部网络钓鱼攻击所致。但是也出现了一些不同的声音。

譬如,OracleHawk首席执行官JacobKing就在推特上发了一张代码截图并认为?:“OpenSea现在撒谎并声称该漏洞实际上只是人们收到的网络钓鱼电子邮件。这100%不是真的,而是他们代码中的一个缺陷导致了历史上最大的NFT漏洞利用之一。”

此次漏洞事件最终原因是什么,我们仍需等待OpenSea的调查结果。巴比特持续关注中。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:15ms0-7:392ms