SEA:OpenSea CTO发文回顾钓鱼攻击：外部攻击导致，并非自身系统性问题

作者：OpenSeaCTONadavHollander

2月21日，OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉，这次攻击导致了大约300万美元资产被盗，包括无聊猿，Azuki和CloneX等知名NFT系列。

本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要，包括提供一些web3方面的技术教育。

奢侈品街头服饰公司Les Benjamins宣布与Kalder合作推出LB代币:金色财经报道，奢侈品街头服饰公司 Les Benjamins 宣布与 Kalder 合作推出了 Flying Carpet Crew。该计划允许被称为 Carpet Weavers 的会员专享 VIP 活动。其中包括快闪店和时装秀。值得注意的是，Carpet Weavers 可以通过完成诸如在社交媒体上发帖、在 Les Benjamins 活动中扫描 QR 码以及在直播期间收集 POAP 等任务来赚取独家 LB 代币。

社区可以通过多种方式使用他们的 LB 代币。其中包括安全访问活动、限量版服装，甚至直接与 Les Benjamins 团队合作。[2023/5/4 14:41:25]

在审查了这次攻击中的恶意订单之后，可以看出以下一些数据点：

美SEC将FTX的代币FTT称为证券:金色财经报道，美国证券交易委员会（SEC）在周三晚些时候提交的对Alameda Research前首席执行官Caroline Ellison和FTX联合创始人Gary Wang的诉讼中表示，FTX的代币FTT作为投资合约出售，是一种“证券”，此举肯定会对行业产生广泛影响。

此前报道，美国证券交易委员会（SEC）指控Alameda Research前首席执行官Caroline Ellison和FTX联合创始人Gary Wang欺诈FTX的股权投资者。[2022/12/22 22:01:00]

所有恶意订单都包含来自受影响用户的有效签名，表明这些用户确实在某个时间点某处签署了这些订单。但是，在签署之后时，这些订单都没有广播到OpenSea。

元宇宙初创公司Raccoon Network完成100万美元融资，Freedom Fund参投:6月27日消息，美国元宇宙初创公司Raccoon Network宣布于上周完成100万美元融资，Freedom Fund参投，估值达到1000万美元。

Raccoon Network是一个允许程序员在其网络上部署dApp和智能合约的平台，该公司正在尝试构建Web3元宇宙并在全球范围内构建办事处以吸引更多人才。[2022/6/28 1:34:46]

没有恶意订单针对新的合约执行，表明所有这些订单都是在OpenSea最新的合约迁移之前签署的，因此不太可能与OpenSea的迁移流程相关。

32名用户的NFT在相对较短的时间内被盗。这是非常不幸的，但这也表明了这是一场有针对性的攻击，而不是OpenSea存在系统性问题。

这些信息，再加上我们与受影响用户的讨论和安全专家的调查，表明由于意识到这些恶意订单即将失效，因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。

在这场网络钓鱼之前，我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。

例如，如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组，您会看到一个引用Wyvern的类型化数据有效负载，如果发生一些不寻常的事情，则会向你发出提醒。

“不要共享助记词或提交未知交易”，这种教育在我们的领域已经变得更加普遍。但是，签署链下消息同样需要同等的思虑。

作为一个社区，我们必须转向使用EIP-712类型数据或其他商定标准）来标准化链下签名。

在这一点上，您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的，但这种更改实际上使订单签署更加安全，因为你可以更好地看到你签的是什么。

此外，强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。

尽管攻击似乎是从OpenSea外部发起的，但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。

标签：SEAPENOPENOpenSeaSEAD价格PENNY价格OpenDAOopensea币价格

UNI热门资讯