okx

OpenSeaCTO发布外部钓鱼攻击技术概要

时间:2023-07-04|浏览:209

2月21日,OpenSeaCTONadavHollander发布了有关针对OpenSea用户的钓鱼攻击的技术概要。据报道,该次攻击导致了大约300万美元的资产被盗,包括无聊猿,Azuki和CloneX等知名NFT系列。

作者OpenSeaCTONadavHollander在帖子中分享了针对OpenSea用户的网络钓鱼攻击的技术概要,并提供了一些关于web3技术的教育。经过审查恶意订单后,发现以下几点信息:

- 所有恶意订单都包含来自受影响用户的有效签名,表示这些用户确实在某个时间点某处签署了这些订单。然而,在签署后,这些订单并没有广播到OpenSea。

- 没有恶意订单针对新的(Wyvern2.3)合约执行,说明所有这些订单都是在OpenSea最新的合约迁移之前签署的,因此与OpenSea的迁移流程无关。

- 在相对较短的时间内有32名用户的NFT被盗。这是非常不幸的,但也表明这是一次有针对性的攻击,而不是OpenSea存在系统性问题。

这些信息以及与受影响用户的讨论和安全专家的调查表明,攻击者意识到这些恶意订单即将失效,因此在2.2合约弃用之前执行了这次网络钓鱼操作。

在实施EIP-712之前,我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱骗某一位用户签署订单。

举例来说,如果您要签署一条消息以加入白名单、抽奖或以代币您会看到一个引用Wyvern(OpenSea使用的协议)的类型化数据有效负载,如果发生一些不寻常的事情,则会向您发出警示。

在我们的领域,“不要共享助记词或提交未知交易”这样的教育已变得更加普遍。然而,签署链下消息同样需要同样的思考。

作为一个社区,我们必须转向使用EIP-712类型数据或其他商定标准(如EIP-4361(“使用以太坊登录”方法))来标准化链下签名。

所以,您会注意到在OpenSea上签署的所有新订单(包括迁移的订单)都使用新的EIP-712格式。虽然有一些改变可能会引起理解上的困惑,但这些改变实际上使订单签署更加安全,因为你可以更好地看到你签的是什么。

此外,我们强烈呼吁开发者和安全公司(如@nesotual,@dguido,@quantstamp)向社区提供有关这次攻击性质的详细信息。

虽然这次攻击似乎来自OpenSea外部,但我们正积极协助受影响的用户,并讨论为他们提供额外帮助的方式。

热点:币圈钓鱼哥 比特币攻击 攻击比特币 币圈攻击 币圈oct

欧易

欧易(OKX)

用戶喜愛的交易所

币安

币安(Binance)

已有账号登陆后会弹出下载

« 上一条| 下一条 »
区块链交流群
数藏交流群

合作伙伴

非小号交易所排名-专业的交易行情资讯门户网站,提供区块链比特币行情查询、比特币价格、比特币钱包、比特币智能合约、比特币量化交易策略分析,狗狗币以太坊以太币玩客币雷达币波场环保币柚子币莱特币瑞波币公信宝等虚拟加密电子数字货币价格查询汇率换算,币看比特儿火币网币安网欧易虎符抹茶XMEX合约交易所APP,比特币挖矿金色财经巴比特范非小号资讯平台。
非小号行情 yonghaoka.cn 飞鸟用好卡 ©2020-2024版权所有 桂ICP备18005582号-1