WEB:OpenSea钓鱼攻击事件启示：警惕三个安全教训

原文作者：DanielChong，Harpie联合创始人

原文编译：杨树

2月19日，攻击者使用了看似「毫无技巧」的电子邮件网络钓鱼攻击，成功从一名?OpenSea?用户手中盗走了254个?NFT，其中包含价值不菲的?Decentraland?和BoredApeYachtClub系列藏品。这位用户收到了伪造的电子邮件并被要求批准智能合约，而在用户批准了合约之后，黑客顺利地从被钓鱼用户的钱包中提走了NFT。

发送给用户的仿冒网站电子邮件

到目前为止，网络钓鱼是人们在Web2和Web3中损失资金的最常见方式，不过在Web3中，由于智能合约的额外风险点，所以问题更严重。

韩国央行制定支付系统CBDC的未来发展方向:金色财经报道，韩国央行 (BOK) 发布了一份支付和结算系统报告。报告称，对系统的监督已成功进行，正在为央行数字货币（CBDC）的未来做好准备，并正在广泛讨论稳定币监管。报道称，BOK-Wire+快速支付系统将升级为实时全额结算（RTGS），并已采用ISO 20022标准，预计将于2028年实施。该银行还将加强对“大型科技”支付服务的监管，并增强应对“IT运营风险”的能力。

报告表示，韩国央行继续为可能引入CBDC做准备，其中包括调查智能合约的使用、近场通信离线支付和跨境支付。该银行在今年下半年将14家银行和韩国金融电信和清算研究所 (KFTCI) 与其模拟CBDC系统连接起来，以验证其功能。[2023/7/20 11:06:13]

我们必须从OpenSea网络钓鱼攻击中吸取三个主要的安全教训，以便对未来的攻击保持警惕。

特斯拉现任CFO对马斯克高调投资比特币感到沮丧:5月15日消息，知情人士透露特斯拉现任首席财务官扎克·柯克霍恩（Zach Kirkhorn）对马斯克高调投资比特币感到沮丧。特斯拉在2021年初购买了价值15亿美元的比特币，扎克·柯克霍恩不愿将这种加密货币留在公司的资产负债表上，该公司去年售出了大部分比特币。

美国证券交易委员会(SEC)的文件显示，特斯拉公司在加密货币投资上获得了约1.92亿美元的收益。[2023/5/15 15:02:49]

1.通过智能合约窃取加密货币容易

大多数?DeFi?协议使用的经典Approval合约

英国立法者投票承认加密是受监管的金融工具:10月29日消息，英国议会下议院投票赞成通过拟议的金融服务和市场法案将加密货币纳入要监管的活动范围，该法案已经寻求将支付规则扩展到稳定币。英国立法者投票赞成承认加密资产为该国受监管的金融工具和产品。

议会下议院下议院周二开会，逐行阅读拟议的金融服务和市场法案，该法案广泛涵盖英国脱欧后的经济战略。立法者审议了该法案的拟议修正案清单，其中包括国会议员 Andrew Griffith 提出的将加密资产纳入该国受监管金融服务范围的修正案。

该法案草案已经包括将现有法规扩展到以支付为重点的稳定币的措施，这些稳定币是与美元或黄金等其他资产价值挂钩的加密货币。[2022/10/29 11:56:26]

「Approval」几乎是所有基于智能合约的代币的功能，当用户「Approval」另一个钱包时，就意味着允许该钱包稍后从用户自己的钱包中转移代币。例如，如果我「Approval」我「0x123」钱包的?USDC?和无聊猿NFT，那「0x123」就可以将这些代币转出。

Silvergate Capital三季报：数字资产客户增加至1677名，净收入4330万美元:10月18日消息，美国加密友好银行Silvergate Bank母公司Silvergate Capital在2022年三季度录得净收入4330万美元，相比二季度净收入3860万美元实现增长。另外，公司数字资产客户从2022年6月30日的1,585名增加至2022年9月30日增长至1,677名。（CoinDesk）[2022/10/18 17:30:52]

大多数DeFi协议都使用「Approval」作为将资产转移到协议的主要方法。

「Icephishing」是微软创造的一个术语，是指一种诱用户批准黑客地址的行为。只需单击MetaMask窗口中的一个按钮，用户就可以将资金的完全访问权限授予黑客，而这正是此次OpenSea网络钓鱼期间发生的事情。

2.很难判断何时被智能合约网络钓鱼

你能看出区别吗？

电子邮件网络钓鱼是大多数人不再担心的事情：现代垃圾邮件过滤器和多年的经验使电子邮件网络钓鱼对于大多数精明的用户来说已成为过去。

相比之下，Web3存在一些挑战，使得从常规合约中识别网络钓鱼合约变得更加困难。

在上面示例的顶部，会看到签名时使用的网站URL并不相同：左侧是「uniswap.org」，右侧是「unLswap.org」。如果用户没有抓住容易忽略的细节并签署合约，对不起，这样就会丢失钱包中的所有USDC。

虽然网站URL是一种经典的网络钓鱼策略，但是当执行黑客攻击时唯一需要的只是按下批准按钮时，它的危害就会变得很大。

3.严重缺乏为加密用户构建的反网络钓鱼技术

Gmail的自动垃圾邮件过滤器，每天可保护数百万人免受网络犯罪的侵害

也许反网络钓鱼技术的最大例子是垃圾邮件过滤器：它已成为互联网上经常被忽视的重要基石。也正因为垃圾邮件过滤器会自动检测几乎所有的网络钓鱼攻击，因此Web2网络钓鱼攻击已经失去了大部分效力。

然而，在Web3中，几乎没有任何保护措施来防止用户意外地从「unlswap.org」或「sushl.com」批准合约，我们有责任仔细观察，从而确保永远不会犯错误。

由于网络钓鱼通常很容易避免，因此在现代互联网中长大的人，往往会轻视网络钓鱼的有效性以及那些被网络钓鱼的人。

实际上，由于易于执行和投资回报，网络钓鱼仍然是最常见的网络犯罪类型。为了规避加密中的网络钓鱼，开发人员社区需要联合起来开发软件，使网络钓鱼者更难窃取资金。

OpenSea这些大型加密项目可能成为网络钓鱼攻击的目标

DeathStar提出的防范网络钓鱼攻击的新思路

而在不久前刚刚结束的EthDenver2022上，一个名为DeathStar的项目脱颖而出，该项目旨在通过开源良性flashbots来解决网络钓鱼问题。

这些flashbots可在资金从钱包中转出时进行检测，一旦检测到资金是转移到不受信任的地址时，MEV领跑者就会立即以两倍Gas费发送一个交易，把用户的所有资产转移到备用地址。。我提到这一点只是为了鼓励其他开发人员继续考虑其他方法来阻止网络钓鱼攻击。

尽管网络钓鱼攻击和具有简单而不成熟的内涵，但成为它们牺牲品的危险是非常真实的。由于Web3如此年轻，因此在Web3生态里建立起更好的保护措施来对抗它们之前，与网络钓鱼面对面将是司空见惯的事情。

每一次成功的局背后，都会有一个用户停止使用Web3，而Web3生态在没有任何新用户的情况下，将无处可去。

标签：WEBWEB3APPVALweb3币价格web3域名dapp币在哪个交易所EVAL DEFI

pepe最新价格热门资讯