NFT安全问题再受瞩目
昨晚,有报道称NFT收集者一直在从钱包中丢失NFT和以太坊,OpenSea疑似遭到网络钓鱼攻击瞬间成为大众密切关注的话题。
OpenSea首席执行官DevinFinzer及时对涉嫌网络钓鱼作出回应,本次网络钓鱼攻击波及的资产总额达640ETH,相关NFT已经在被标记为“Fake_Phishing5169”的钱包之中。
据链上数据显示,该恶意钱包于去年12月进行了第一笔交易,但网络钓鱼攻击在昨天才开始。此外,该钱包还一直在与另一个被标记为OpenSea网络钓鱼的钱包进行交互。
EigenLayer将增加LST上限,第三季度将上线Operator测试网:7月1日消息,以太坊再质押协议EigenLayer宣布将增加流动性质押代币(LST)的上限,不过相关协议参数更改还须获得多重签名治理系统的批准。EigenLayer操作多重签名通过时间锁执行例行升级和维护,对所有安全关键操作强制执行至少10天的延迟,这也意味着,7月10日之后Operations多签可以取消上限。EigenLayer预计将在7月10日当周提高LST上限。届时,LST上限(包括rETH、stETH和cbETH)将增加到15,000个代币(每类LST),没有个人存款限制。一旦所有LST存款的总和达到3万枚代币,将启动暂停LST再质押。
EigenLayer表示,随着LST上限的增加,将探索EigenLayer路线图的下一步。重点仍然是增强再质押体验,同时确保安全性和去中心化。具体计划是,第三季度上线Operator测试网,第四季度上线主动验证服务(AVS)测试网,预计2024年第一季度上线AVS主网。[2023/7/1 22:12:06]
在过去的24小时内,大量来自底价高的收藏的NFT被转移,例如BoredApeYachtClubNFT、CoolCats、Doodles和AzukiNFT。Fake_Phishing5169地址还通过竞争对手NFT市场Rarible和LooksRare进行了交易。
CryptoPunks系列NFT地板价跌至50ETH附近:金色财经报道,据NFTGo.io数据显示,CryptoPunks系列NFT地板价达50.99ETH,24小时跌幅0.15%。此外,该系列NFT24小时交易额达158.43
ETH,交易额跌幅达46.29%。[2023/6/19 21:46:26]
对于此次事件,OpenSea表示正在进行积极调查。最新消息称,OpenSea官方发推表示,目前这次网络钓鱼攻击还没有调查出确定确切的来源,但想有一些EOD更新:已将受影响的个人名单缩小到17人,而不是之前提到的32人。最初的计数包括与攻击者有过“交互”的任何人,而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃,超过15小时没有恶意合约活动。
6000万枚USDT从Kraken转移到Bitfinex:金色财经报道,据Whale Alert监测显示,有6000万枚USDT (60,061,219 USD)从Kraken转移到Bitfinex。[2023/5/22 15:17:32]
不过DevinFinzer在事情刚发生时就推特上表示,该漏洞可能根本没有袭击OpenSea,到目前为止,似乎有32位用户签署了来自攻击者的恶意有效载荷,并且他们的一些NFT被盗。
声音 | ETC Cooperative执行董事:以太坊是非常糟糕的货币选择:去年10月,当被问及是否相信ETH可以成为功能最强大的全球无需许可的价值资产,V神称,如果社区希望如此,ETH绝对可以成为货币。ETC Cooperative执行董事Bob Summerwill最近表示,“问题在于如果社区想要这样做,那就不是货币了。”他解释说比特币的硬通货特征之一是确定性。它必须是防篡改的,这是设置后不能改变的系统。他指出,比特币有固定的供应量、设定的区块奖励规则和区块大小,并称不可能有比这更多的确定性。这是Ethereum Classic在第一年通过引入ETC货币政策选择的道路。“这就是发行和供应将如何永远运行,我们永远不会改变这一点,而且它已完成。这就是让事物变成硬通货的原因。任何东西都可以是钱,公交票就是钱……钱就是您想要的东西,但要成为真正的货币,必须有固定的货币政策,而不是搞砸它。“考虑到在区块奖励和冰河世纪方面所做的改变,以太坊却并非如此。他表示,一旦以太坊从PoW转向PoS,货币政策就存在不确定性。“任何阻碍奖励、时间安排或其他因素的变化都会影响它……所以我不会说以太坊不可能是货币,我会说以太坊是非常糟糕的货币选择。”(AMBCrypto)[2020/1/6]
简单来说,DevinFinzer猜测人们可能收到了伪造成官方的电子邮件,诱导他们将NFT转移到其他人的钱包中。
此外,DevinFinzer还表示,推特用户Neso的帖子与他对所发生事情的理解一致。
Neso发推解释了技术方面的可能性,Neso表示,丢失资产的人可能签署了一半有效的wyvern订单,攻击者签署了另一半订单。wyvern合约非常灵活,OpenSea会在其前端/api上验证订单,以确保用户签署的内容将按预期运行,但同样的合约仍然可以被其他人使用,如果人们签署这样更复杂的订单,攻击者就可以拿走得到正式认可的所有东西。
这次攻击恰逢新智能合约Wyvern2.3的发布,OpenSea当时要求用户迁移他们的列表,不少猜测表示或许与此有关。不过OpenSea的攻击来源依旧没有得到确切的消息,这些猜测也只是猜测,关于后续的故事,仍需继续等待OpenSea的调查结果。
有趣的是,此次事件中攻击者的交易操作着实让很多人摸不着头脑。
比如为什么网络钓鱼者在拿走他的一些资产后选择归还部分资产?
再比如,为什么归还部分资产之后向naterivers.eth发送了50个以太坊?
......
是良心发现还是耀武扬威?恐怕这些谜之操作,也只有攻击者自己知道。
最后,为了防止NFT和以太币的丢失,最好通过Etherscan的代币批准功能撤销访问权限,最好将资产转移到硬件钱包中。
Etherscan的代币批准功能链接如下:
https://etherscan.io/tokenapprovalchecker
作者:Corn
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。