OPEN:针对的Opensea钓鱼攻击,吓坏了早起的NFT玩家

今晨,关于OpenSea疑似出现bug一事引发了大量关注与热议。

事件起因为,多位用户今晨于推特发布警告称,OpenSea昨日推出的新迁移合约疑似出现bug,攻击者正利用该bug窃取大量NFT并卖出套利。

从攻击者钱包的截图来看,当前失窃NFT涵盖BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多种高价值系列,其中部分已以地板价卖出,但也有一部分已远路转回失窃地址。

Polygon引入针对见证者的快照投票工具以提升治理透明度:3月19日消息,Polygon 宣布引入针对见证者的快照投票工具以提升治理透明度。该投票工具基于一个地址=一张选票的原则,让见证者使用其地址投票,这与见证者社区目前达成链外共识的方式相对应。下一步,Polygon 针对提案 (PIP) 框架也将进行重大改革,以实现治理流程的透明和一致性。[2022/3/19 14:05:59]

所谓迁移合约,来自于OpenSea昨日发布的一项新升级。昨日,OpenSea宣布其智能合约升级已完成,新的智能合约已经上线,用户迁移智能合约需签署挂单迁移请求,签署此请求不需要Gas费,无需重新进行NFT审批或初始化钱包。在迁移期间,旧智能合约上的报价将失效。英式拍卖将于合约升级完成后暂时禁用几个小时,新合约生效后,可以再次创建新的定时拍卖。现有智能合约的荷兰式拍卖将于北京时间2月26日3时在迁移期结束时到期。

菲律宾SEC发布针对疑似欺诈性加密货币项目的警告:CoinMarketCap发布警告称,菲律宾证券交易委员会(SEC)已发布了针对疑似欺诈性加密货币项目WONCOIN的警告。经查证,该警告发布于5月8日,除了WONCOIN之外,菲律宾SEC同时还提醒公众警惕CryptoInvestWith.Us(CIW.U)、Captcha Philippines、Fil-Invest以及Xtreme House of Beauty Trading Corporation等四家公司。[2020/5/10]

事件发生后,OpenSea于官方推特回应称:“我们正在积极调查与OpenSea智能合同有关的传闻。这看起来像是来自OpenSea网站外部的网络钓鱼攻击。不要点击http://opensea.io之外的任何链接。”

实力派 | 谢纬:在发展区块链上?娄底实行精准又具针对性的扶持政策:在今日的金色实力派上,娄底市国家级区块链研究和应用示范推进领导小组办公室副主任谢纬就“娄底市对区块链发展的扶持政策以及如何平衡各行业发展急需的各类资源”做了解答。谢纬表示,娄底市对区块链技术发展的扶持政策是精准有针对性的,也是一条龙服务。概括起来是:场景需求对接(帮助企业找到适合的场景,认知模式)+早期投资(参与种子期、天使轮、PRE_A轮投资)+项目采购支持(政府采购扶持)+数据开放支持(帮助企业认知数据、获取数据、建立数据分享机制,从而获得稳定的运营收入)+项目争取支持(专门支持向发改、工信、科技等争取项目)+政府背书支持(对同类型目标地区政府站台宣传)。

而对场景和数据资源冲突方面的理解,其实源于对区块链应用场景的认知深度不足。我认为区块链应用资源是无限的。例如长沙工程机械行业是湖南省优势产业,我们协助他们进行全行业的场景分析和应用落地,找到行业需求和解决方案,同时提供区块链应用解决模式,帮区块链企业找到付费意愿,让应用场景-产品-运营形成闭环,实现产业和企业的完美融合。[2020/1/20]

Alchemix、Sushiswap贡献者,推特用户@0xfoobar在事件发生了也于推特发布了关于此事的个人调查。@0xfoobar称,黑客系使用30天前部署的辅助程序合约来调用4年前部署的OpenSea合约,该辅助合约同样具有有效的atomicmatch()数据,这可能是起于几个星期前的一场钓鱼攻击,黑客正赶着在所有挂单过期之前进行攻击。

@0xfoobar进一步分析称,此事与OpenSea新迁移合约唯一的关系是,由于OpenSea智能合约升级后所有的历史挂单都将在6天内到期,这其中也包含了所有来自已被钓鱼攻破的地址的挂单,所以黑客不得不立即采取行动。换句话说,这是一场钓鱼攻击,而非一场通用智能合约漏洞,OpenSea的合约并没有出现问题。

@0xfoobar的分析与其他一些大V不谋而合,gmDAO创始人Cyphr.ETH发推称,黑客使用了标准网络钓鱼电子邮件复制了几天前发生的正版OpenSea电子邮件,然后让一些用户使用WyvernExchange签署权限。OpenSea未出现漏洞,只是人们没有像往常一样阅读签名权限。

至此,本次安全事件的原因已基本明了,受影响群体为曾点击过上述邮件并签署了权限的用户,出于安全起见,建议这些用户暂时撤销OpenSea的所有授权。可用的合约授权签署工具包括https://revoke.cash/或https://zapper.fi/revoke或https://etherscan.io/tokenapprovalchecker或https://approved.zone/或https://tac.dappstar.io/#/,部分网站可能因当前访问量过大无法打开,可以多试试。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:200ms