时间:2023-07-04|浏览:209
作者OpenSeaCTONadavHollander在帖子中分享了针对OpenSea用户的网络钓鱼攻击的技术概要,并提供了一些关于web3技术的教育。经过审查恶意订单后,发现以下几点信息:
- 所有恶意订单都包含来自受影响用户的有效签名,表示这些用户确实在某个时间点某处签署了这些订单。然而,在签署后,这些订单并没有广播到OpenSea。
- 没有恶意订单针对新的(Wyvern2.3)合约执行,说明所有这些订单都是在OpenSea最新的合约迁移之前签署的,因此与OpenSea的迁移流程无关。
- 在相对较短的时间内有32名用户的NFT被盗。这是非常不幸的,但也表明这是一次有针对性的攻击,而不是OpenSea存在系统性问题。
这些信息以及与受影响用户的讨论和安全专家的调查表明,攻击者意识到这些恶意订单即将失效,因此在2.2合约弃用之前执行了这次网络钓鱼操作。
在实施EIP-712之前,我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱骗某一位用户签署订单。
举例来说,如果您要签署一条消息以加入白名单、抽奖或以代币您会看到一个引用Wyvern(OpenSea使用的协议)的类型化数据有效负载,如果发生一些不寻常的事情,则会向您发出警示。
在我们的领域,“不要共享助记词或提交未知交易”这样的教育已变得更加普遍。然而,签署链下消息同样需要同样的思考。
作为一个社区,我们必须转向使用EIP-712类型数据或其他商定标准(如EIP-4361(“使用以太坊登录”方法))来标准化链下签名。
所以,您会注意到在OpenSea上签署的所有新订单(包括迁移的订单)都使用新的EIP-712格式。虽然有一些改变可能会引起理解上的困惑,但这些改变实际上使订单签署更加安全,因为你可以更好地看到你签的是什么。
此外,我们强烈呼吁开发者和安全公司(如@nesotual,@dguido,@quantstamp)向社区提供有关这次攻击性质的详细信息。
虽然这次攻击似乎来自OpenSea外部,但我们正积极协助受影响的用户,并讨论为他们提供额外帮助的方式。
用戶喜愛的交易所
已有账号登陆后会弹出下载