2月19日,攻击者使用了看似「毫无技巧」的电子邮件网络钓鱼攻击,成功从一名OpenSea用户手中盗走了254个NFT,其中包含价值不菲的Decentraland和BoredApeYachtClub系列藏品。这位用户收到了伪造的电子邮件并被要求批准智能合约,而在用户批准了合约之后,黑客顺利地从被钓鱼用户的钱包中提走了NFT。
发送给用户的仿冒网站电子邮件到目前为止,网络钓鱼是人们在Web2和Web3中损失资金的最常见方式,不过在Web3中,由于智能合约的额外风险点,所以问题更严重。我们必须从OpenSea网络钓鱼攻击中吸取三个主要的安全教训,以便对未来的攻击保持警惕。1.通过智能合约窃取加密货币容易
Opensea:将继续对所有现有收藏征收版税:11月10日消息,Opensea在社交媒体上表示,将继续对所有现有收藏征收版税。创作者可以立即采取措施: 1) 可以为现有收藏建立链上执行路径;2)为你的社区制定更多激励措施以继续支付费用;2)可以拒绝让你的项目网站链接到无版税的市场。
为了确认新收藏的版税,创作者必须采用链上执行工具。例如Opensea的新注册表,同时也支持其他工具。在接下来的几周时间,Opensea将开始公开版税数据,供所有人使用。[2022/11/10 12:42:01]
Slope回应:未在集中式服务器上存储个人数据,仍在调查具体原因:8月4日消息,针对Solana生态钱包大规模攻击事件,Slope发布公告称,根据目前了解的情况,很多Slope钱包遭到入侵,Slope许多员工和创始人的钱包也被盗了。Slope关于攻击事件起因有一些假设,但尚未确定。Slope正在积极开展内部调查和审计,与顶级外部安全和审计团队合作;正与整个生态系统中的开发人员、安全专家和协议合作,努力识别和纠正这些问题。
Slope建议所有用户采取以下措施:创建一个新的、独立的种子短语钱包,并将所有资产转移到新钱包。同样,不建议在新钱包上使用与Slope上相同的种子短语。硬件钱包仍然是安全的。
此外,Slope的公告没有说明是否可能与私钥存储问题有关。一位Slope代表告诉CoinDesk,“我们不会在集中式服务器上存储任何个人数据。”
据此前报道,Solana?Labs首席执行官Anatoly Yakovenko最初在推特上表示,他怀疑该漏洞可能与Apple iOS供应链攻击有关,但后来将源头缩小到对Slope集中式服务器的黑客攻击,其中私钥似乎以纯文本形式存储。Twitter 上的其他开发人员也推测,Slope将私钥以明文形式存储在集中式服务器上,而攻击者已将其破坏。(CoinDesk)[2022/8/4 2:57:58]
大多数DeFi协议使用的经典Approval合约「Approval」几乎是所有基于智能合约的代币的功能,当用户「Approval」另一个钱包时,就意味着允许该钱包稍后从用户自己的钱包中转移代币。例如,如果我「Approval」我「0x123」钱包的USDC和无聊猿NFT,那「0x123」就可以将这些代币转出。大多数DeFi协议都使用「Approval」作为将资产转移到协议的主要方法。「Icephishing」是微软创造的一个术语,是指一种诱用户批准黑客地址的行为。只需单击MetaMask窗口中的一个按钮,用户就可以将资金的完全访问权限授予黑客,而这正是此次OpenSea网络钓鱼期间发生的事情。2.很难判断何时被智能合约网络钓鱼
OpenSea新迁移合约疑似出现bug,攻击者正窃取大量高价值NFT:2月20日消息,多位用户于推特发布警告称,OpenSea昨日推出的新迁移合约(地址:0xa2c0946aD444DCCf990394C5cBe019a858A945bD)疑似出现bug,攻击者(地址:0x3e0defb880cd8e163bad68abe66437f99a7a8a74)正利用该bug窃取大量NFT并卖出套利,失窃NFT涵盖BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers等多种高价值系列。当前,漏洞原因尚未完全确认,但建议用户通过下方链接撤销对上述合约的授权。
注:昨日,OpenSea执行例行升级,受升级影响,所有于2月18日之前创建的挂单都将于2月25日到期,为了保持用户的原始挂单数据不受影响,OpenSea特地推出了上述挂单迁移合约。[2022/2/20 10:03:31]
Azuki联合创始人:OpenSea白名单合约存在漏洞:2月5日消息,NFT项目Azuki联合创始人2PMFLOW.ETH在推特上表示,他注意到最近在OpenSea上出现问题,即:有人能使用可变proxyRegistryAddress成为NFT合约白名单。对于正在进行铸造NFT的人来说,你们需要了解其中所涉及的风险,因为任何拥有合约所有者密钥的人都可以在未经您批准的情况下将您的代币转移到他们想要的任何钱包地址中。
2PMFLOW.ETH透露,他们注意到一些即将启动的NFT项目存在此问题。支持 OpenSea 白名单的更安全的替代方案其实非常简单,只需在构造函数中设置 Opensea proxyRegistryAddress 并使其不可变,操作也只需要短短 2 分钟即可完成部署。[2022/2/5 9:32:45]
你能看出区别吗?电子邮件网络钓鱼是大多数人不再担心的事情:现代垃圾邮件过滤器和多年的经验使电子邮件网络钓鱼对于大多数精明的用户来说已成为过去。相比之下,Web3存在一些挑战,使得从常规合约中识别网络钓鱼合约变得更加困难。在上面示例的顶部,会看到签名时使用的网站URL并不相同:左侧是「uniswap.org」,右侧是「unLswap.org」。如果用户没有抓住容易忽略的细节并签署合约,对不起,这样就会丢失钱包中的所有USDC。虽然网站URL是一种经典的网络钓鱼策略,但是当执行黑客攻击时唯一需要的只是按下批准按钮时,它的危害就会变得很大。3.严重缺乏为加密用户构建的反网络钓鱼技术
Gmail的自动垃圾邮件过滤器,每天可保护数百万人免受网络犯罪的侵害也许反网络钓鱼技术的最大例子是垃圾邮件过滤器:它已成为互联网上经常被忽视的重要基石。也正因为垃圾邮件过滤器会自动检测几乎所有的网络钓鱼攻击,因此Web2网络钓鱼攻击已经失去了大部分效力。然而,在Web3中,几乎没有任何保护措施来防止用户意外地从「unlswap.org」或「sushl.com」批准合约,我们有责任仔细观察,从而确保永远不会犯错误。由于网络钓鱼通常很容易避免,因此在现代互联网中长大的人,往往会轻视网络钓鱼的有效性以及那些被网络钓鱼的人。实际上,由于易于执行和投资回报,网络钓鱼仍然是最常见的网络犯罪类型。为了规避加密中的网络钓鱼,开发人员社区需要联合起来开发软件,使网络钓鱼者更难窃取资金。
OpenSea这些大型加密项目可能成为网络钓鱼攻击的目标DeathStar提出的防范网络钓鱼攻击的新思路而在不久前刚刚结束的EthDenver2022上,一个名为DeathStar的项目脱颖而出,该项目旨在通过开源良性flashbots来解决网络钓鱼问题。这些flashbots可在资金从钱包中转出时进行检测,一旦检测到资金是转移到不受信任的地址时,MEV领跑者就会立即以两倍Gas费发送一个交易,把用户的所有资产转移到备用地址。。我提到这一点只是为了鼓励其他开发人员继续考虑其他方法来阻止网络钓鱼攻击。尽管网络钓鱼攻击和具有简单而不成熟的内涵,但成为它们牺牲品的危险是非常真实的。由于Web3如此年轻,因此在Web3生态里建立起更好的保护措施来对抗它们之前,与网络钓鱼面对面将是司空见惯的事情。每一次成功的局背后,都会有一个用户停止使用Web3,而Web3生态在没有任何新用户的情况下,将无处可去。原地址
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。