木星链 木星链
Ctrl+D收藏木星链
首页 > 狗狗币 > 正文

NFT:利用OpenSea「漏洞」,攻击者低买高卖他人NFT

作者:

时间:1900/1/1 0:00:00

作者:茉莉

1月24日,OpenSea多名用户的NFT被人以过期的低价买入,并被快速高价转卖,受影响的NFT资产包括BoreApeYachtClub、CoolCats、CyberKongz等。其中一个BoreApeYachtClub以0.77ETH的旧价格被购买,并在一小时内以84.2ETH转售。该NFT的持有者在推特上表示,他近期并未以0.77ETH的价格出售该NFT。

交易页面显示,名为jpegdegenlove的OpenSea账号操作了这些低买高卖的NFT,截至1月25日凌晨,其以太坊钱包已经拥有价值超74万美元的ETH。

攻击者能够成功「狙击」别人的NFT,源于OpenSea的NFT「销售列表」取消功能被忽略。在这个全球最大的NFT交易平台上,NFT挂单者真正撤单必须支付Gas取消销售列表,否则挂单即便在前端UI不显示,链上也依然有效,仍能被人以原先的挂单价格在其他平台上购买。

SBF律师否认在刑事欺诈案中的证人篡改指控:金色财经报道,在最近给主审法官的一封信中,FTX创始人Sam Bankman-Fried(SBF)的法律团队坚决否认在刑事欺诈案中篡改证人的指控。律师们强烈反驳了检方的指控,声称SBF与《纽约时报》记者的讨论远不构成篡改证人。律师表示,他确实与《纽约时报》记者接触过,甚至分享了某些个人文件。然而,他的当事人没有违反任何有关此案的保护令,也没有违反任何保释条件或管辖其行为的法律法规。[2023/7/25 15:56:15]

DeFi开发者yakirrotem解释,攻击者可能保存了用户在早先挂售时的链上签名列表,该列表公开可见,能被API抓取,以过期低价购买用户的NFT。这个Bug一旦被攻击者利用,他人的NFT便会被收入囊中,进而转卖。

截至发稿前,OpenSea未就用户损失和「销售列表」的前端问题公开发表回应。

约1亿枚USDT从孙宇晨相关地址转入未知钱包:金色财经报道,据WhaleAlert监测数据显示,99,472,845枚USDT (99,602,160 美元) 从孙宇晨相关地址转入未知钱包。[2022/12/24 22:04:18]

用户?NFT?以过期价遭攻击者低买高卖

「OpenSea上的一个错误允许人们以旧价格购买Ape。这只Ape以?0.77ETH的价格被购买,40?分钟后以84.2ETH的价格转售。」1月24日,多条类似推文提示OpenSea用户,尽快将自己的NFT资产转移至从未在OpenSea上签名过NFT销售的钱包中。

一枚ApeNFT以0.77ETH被低吸后高卖

被低价买入又转手高价卖出的NFT不仅涉及BoreApeYachtClub项目,还包括MutantApeYachtClub、CyberKongz和CoolCats等NFT项目。

知情人士:FTX无担保债权人委员会已聘请律师事务所Paul Hastings参与FTX破产程序:金色财经报道,据《华尔街日报》援引知情人士报道,FTX 无担保债权人委员会已聘请律师事务所 Paul Hastings 代表 FTX 债权人参与加密货币交易所 FTX 的破产程序,选择财务顾问的过程正在进行中。

此前消息,美国司法部指定Genesis百慕大子公司等9名债权人加入FTX无担保债权人委员会。[2022/12/23 22:02:13]

「伙计们,为什么我的Ape只卖?0.77?」推特用户T_BALLER6正是受害者之一,他发布推文称,他近期并没有将这枚Ape以?0.77ETH的价格出售。

另一名维特名为ToastVirtual的NFT收藏家也称,周一醒来发现他的Ape以旧的挂单价格6.66ETH被售出,「这只Ape没有在钱包之间转移。」?

分析:BNB Chain黑客布局最早可追溯到10月6日:10月7日消息,欧科云链链上卫士团队针对此次BNB Chain被盗案发布案件分析,在通过OKLink BSC浏览器追踪BNB Chain被盗一案时,此次案件黑客最早于10月6日便使用ChangeNOW服务转入了起始攻击资金(100多枚BNB)到BSC链上,随后黑客通过调用系统RelayerHub合约0x1006进行注册,然后对系统CrossChain合约0x2000发起攻击。

据链上卫士团队分析,此次黑客对BSC跨链桥发起攻击,两次攻击累计从中盗取200万个BNB并转移至0x489A开头地址,并通过Venus的借贷服务,抵押了90万个BNB,从中借走5000万USDT、6250万BUSD和3500万USDC。随后,黑客又使用Stargate跨链桥,将约9000万美元攻击所得资金资产转移到ETH(占比58%)、Fantom(占比33%)及AVAX等网络上。最终今晨6:19分,BNB Chain官方推特宣布BNB Chain暂停运行。

此前消息,欧科云链OKLink多链浏览器已对BNB Chain黑客地址进行风险标签标记(标记为“Hack”),当前地址余额超7亿美元。[2022/10/7 18:41:51]

从OpenSea交易记录页面可见,低吸高卖的账户名为jpegdegenlove,该账户在几个小时内不断以旧价格买入多个知名的NFT,然后又转手高价卖出。区块链安全机构Peckshield的相关推特公布了攻击者地址并提醒,OpenSea有一个前端问题,攻击者获得了大约332ETH。按照事发当时ETH的报价2256美元,这些332ETH折合约74万美元左右。

安全团队:BXH被盗资金出现异动,超1700万美元资金被跨链转移到BTC网络:9月4日凌晨(UTC+8),慢雾监控到 BXH 被盗资金出现异动,经慢雾 MistTrack 分析,异动详情如下:

1/BSC 链,黑客地址 0x48c9...7d79 Approve Cake Token 给 PancakeSwap。

2/ETH 链,黑客地址 0x48c9...7d79 将 3987.78 WETH Withdraw 成 ETH。

3/ETH 链,黑客地址 0x4967...Eb35 使用 Uniswap、Curve 将 DAI 全部兑换为 renBTC 和 WBTC,兑换后总数分别为 858.0454 renBTC 和 795.2618 WBTC;其中 858.0454 renBTC(价值约 1701 万美元) 已全部跨链到 BTC 链,跨链后地址为 1DYR...heSF,目前 BTC 暂未进一步转移。

截止目前,BXH 被盗资金并没有出现转移到交易所的情况,全部被盗资金仍在黑客地址中。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/9/4 13:07:50]

这些收藏家的NFT为何会被人以过期的低价买走?

有推特用户附图答疑称,OpenSea和另一个NFT交易平台Rarible之间存在一个问题,「如果你没有在OpenSea上正确地删除NFT挂单,这个问题就会被利用。」

答疑图片显示,如果卖家挂售一件NFT商品,后来决定删除挂单,那么正确的方式是支付一笔Gas费用来取消它,如果用户为了节省Gas费,只是简单地将NFT转移到一个不同的以太坊地址,尽管OpenSea的前端挂单不显示了,但当该NFT被发送回原始地址后,它仍然可以在Rarible上被购买。

OpenSea的这个「前端问题」事实上早已以答用户问的方式出现在其帮助中心的页面上。在「我如何取消或调低NFT清单的价格」一问中,OpenSea答复,「请注意,转移NFT不会自动取消清单。在将NFT转移到新的钱包之前,您要取消列表。这确保了该列表不能通过OpenSea实现……取消列表需要支付Gas费,这样才能使其他用户无法使用该NFT。」

如此看来,被人低价买走的NFT很可能是一些用户没有执行挂单取消操作,导致被攻击者利用。

如何在OpenSea避免「未撤单」疏漏?

OpenSea「销售列表」取消功能留下的「空子」曾在去年12月底就有披露,此次规模性爆发后导致用户资产受损。

推特名为「yakirrotem」的DeFi开发者、NFT收藏家因此将OpenSea评价为NFT世界的「过时产品」,「它缓慢,用户体验糟糕,用的是旧的智能合约代码,这让你支付了更多的Gas费,对交易者没有好处,他们还有危险的Bug。」

yakirrotem罗列OpenSea的运行方式称,该平台为了节省Gas费,采用了链下呈现价格、链上操作签名交易的方式运行整个系统,「当你列出一个待售的项目时,你签名的数据证明你愿意以这个价格出售你的NFT,而签名保存在OpenSea的链下数据库里。当有人想购买你的NFT时,他会发送给他的智能合约,但这一步的签名和销售信息是在链上进行验证的,然后才发生转让。」

yakirrotem强调,当用户取消一个列表时,会被要求执行一个交易,「你可能会问『为什么』,原因是有人可能保存你此前的签名清单,因为它是公共的,例如Rarible平台甚至OSAPI,并在以后使用它。即使你的挂单从UI页面上删除了,但其实上只有链上交易才会保存你取消该交易的事实,即便有人试图使用你之前签署的数据,链上验证也将拒绝该交易。」

此外,将先前挂单的NFT转移回列出它的钱包,也不会阻止这个错误的发生,「重新列出也帮不了你,除非你确保取消了所有之前的清单。」

NFT收藏家图解OpenSea前端问题

「Rarible这样的网站会保存旧的列表,现在攻击者可以使用这些信息来执行销售,因为OpenSea的智能合约相信这个销售是有效的。」yakirrotem指出,OpenSea的另一个大问题是他们没有一次性的订单簿,「所以假如你6个月前创建了一个订单,然后在4个月前又创建了另一个订单,即便你在1天后取消了它,第一个订单仍然有效,尽管它在UI页面上不可见。」

此次「漏洞」造成用户NFT被攻击者「狙击」后,也有一些声音认为是用户自身保管NFT不当所致。而在yakirrotem看来,OpenSea的这些问题并非不可解决,因为另一家最近兴起的NFT交易平台LooksRare就支持用户一次性取消所有订单,「即使你不知何故忘记取列表,这也可以确保你更安全。」

如何复查自己的NFT旧挂单是否执行了取消操作?

yakirrotem介绍,用户可以登录Rarible平台查看之前的列表是否还在,「然而,如果你想要100%的安全,那么就把你的NFT转移到另一个从未在OpenSea上架过的钱包里。」

标签:NFTPENENSOPENGNFTOpen Trading Networkens币行情opendao币最新价格

狗狗币热门资讯
加密货币:提议禁止在俄境内使用和挖掘加密货币 比特币会一直一泻千里还是触底反弹

消息面分析:1月21日消息,俄罗斯央行周四提议禁止在俄罗斯境内使用和挖掘加密货币,理由是这些活动对金融稳定、公民福祉和货币政策主权构成威胁.

1900/1/1 0:00:00
BDC:全景式梳理2021年各国央行数字货币发展状况与主要进展

2021年是央行数字货币快速发展的一年。根据BIS的在去年第三季度发布的研究,全球至少有87个国家正在探索发行CBDC,至少有14个国家正在处于试点状态,其中包括中国、尼日利亚、巴哈马、韩国等.

1900/1/1 0:00:00
SWAP:Uniswap第四季度总结:交易量创新高、稳定币市场交易份额攀升

以下报告由MessariHub成员UniswapLabs委托编写。有关更多信息,请参阅文章后面的免责声明.

1900/1/1 0:00:00
加密货币:金色观察|继中国后 多个国家拟“禁止比特币挖矿”

自2021年5月以来,我国启动虚拟货币“挖矿”整治活动。内蒙古、云南、新疆、青海、四川、安徽、河北、江苏、浙江、福建、海南等省份先后出手.

1900/1/1 0:00:00
区块链:节前最后一周有希望吗? 院长说币行情分析(1/24)

本号的文章只做研究、学习和交流使用,不具有任何的操作指导意义,事实上也不赞成去操作没有逆天改命需要实力,在你还没有强大的实力前,先学会顺势而为吧.

1900/1/1 0:00:00
比特币:简述比特币的安全性到底有多高?

比特币从09年诞生直径,已经过去12年了,从一文不值到目前的近4万美金一枚,总市值7500多亿美金.

1900/1/1 0:00:00