PEN:OpenSea钓鱼攻击事件启示：警惕三个安全教训

2月19日，攻击者使用了看似「毫无技巧」的电子邮件网络钓鱼攻击，成功从一名OpenSea用户手中盗走了254个NFT，其中包含价值不菲的Decentraland和BoredApeYachtClub系列藏品。这位用户收到了伪造的电子邮件并被要求批准智能合约，而在用户批准了合约之后，黑客顺利地从被钓鱼用户的钱包中提走了NFT。

发送给用户的仿冒网站电子邮件到目前为止，网络钓鱼是人们在Web2和Web3中损失资金的最常见方式，不过在Web3中，由于智能合约的额外风险点，所以问题更严重。我们必须从OpenSea网络钓鱼攻击中吸取三个主要的安全教训，以便对未来的攻击保持警惕。1.通过智能合约窃取加密货币容易

Elon Musk：xAI将与微软、谷歌、OpenAI竞争；将使用公共数据进行AI模型训练:金色财经报道，Elon Musk表示，他的新公司肯定会与OpenAI竞争，在AGI领域提供比微软、谷歌、OpenAI产品更有竞争力的替代方案。xAI仍处于萌芽阶段（embryonic），要赶上OpenAI和谷歌还需要时间。同时，在AI模型训练方面，他们会使用公共数据而非私人数据。

xAI计划构建一个超级智能人工智能，帮助解决复杂的科学和数学问题，并“理解”宇宙。OpenAI最初的目标是开源和非营利，但因为“命运喜欢讽刺”，OpenAI是闭源的，“对利润很贪婪”。就AI算力方面，他们同样需要算力支持，但或许会略少于其他公司。[2023/7/17 10:58:55]

Memeland：OpenSea上出现虚假MEMECOIN，请勿铸造:7月5日消息，NFT项目Memeland在其官推发文称，NFT交易市场OpenSea上出现了虚假MEMECOIN，目前已就该问题联系了OpenSea平台，提醒用户不要铸造该虚假MEMECOIN，同时可以向平台发起欺诈报告。Memeland补充称，上架虚假MEMECOIN可能是OpenSea平台的一个Bug。[2023/7/5 22:18:13]

大多数DeFi协议使用的经典Approval合约「Approval」几乎是所有基于智能合约的代币的功能，当用户「Approval」另一个钱包时，就意味着允许该钱包稍后从用户自己的钱包中转移代币。例如，如果我「Approval」我「0x123」钱包的USDC和无聊猿NFT，那「0x123」就可以将这些代币转出。大多数DeFi协议都使用「Approval」作为将资产转移到协议的主要方法。「Icephishing」是微软创造的一个术语，是指一种诱用户批准黑客地址的行为。只需单击MetaMask窗口中的一个按钮，用户就可以将资金的完全访问权限授予黑客，而这正是此次OpenSea网络钓鱼期间发生的事情。2.很难判断何时被智能合约网络钓鱼

FTX将于12月31日上线SOS(OpenDAO):据官方消息，FTX 将于北京时间 12 月 31 日上线 SOS（OpenDAO），22:00 开放 SOS/USD, SOS-PERP 交易对。[2021/12/31 8:17:12]

你能看出区别吗？电子邮件网络钓鱼是大多数人不再担心的事情：现代垃圾邮件过滤器和多年的经验使电子邮件网络钓鱼对于大多数精明的用户来说已成为过去。相比之下，Web3存在一些挑战，使得从常规合约中识别网络钓鱼合约变得更加困难。在上面示例的顶部，会看到签名时使用的网站URL并不相同：左侧是「uniswap.org」，右侧是「unLswap.org」。如果用户没有抓住容易忽略的细节并签署合约，对不起，这样就会丢失钱包中的所有USDC。虽然网站URL是一种经典的网络钓鱼策略，但是当执行黑客攻击时唯一需要的只是按下批准按钮时，它的危害就会变得很大。3.严重缺乏为加密用户构建的反网络钓鱼技术

Open Money Initiative创始人：从很多方面来看比特币是终极避险资产:非营利研究组织Open Money Initiative的联合创始人Jill Carlson今日发文章称，从很多方面来说，比特币是终极的避险资产。它可以自我管理，即使信任和法治体系崩溃，它也可以继续存在。它是开放的、无国界的，在世界上每个国家都有相对流动的市场。它具有审查抵抗性，这意味着任何政府或机构都无法在实践中阻止比特币的投资或交易。比特币的供应是固定的，就像黄金一样。比特币是数字化的，这使得囤积、持有和运输变得切实可行。对于末日预言者、反乌托邦的科幻迷和末日预言者来说，比特币有很多值得喜欢的地方。[2020/3/5]

Gmail的自动垃圾邮件过滤器，每天可保护数百万人免受网络犯罪的侵害也许反网络钓鱼技术的最大例子是垃圾邮件过滤器：它已成为互联网上经常被忽视的重要基石。也正因为垃圾邮件过滤器会自动检测几乎所有的网络钓鱼攻击，因此Web2网络钓鱼攻击已经失去了大部分效力。然而，在Web3中，几乎没有任何保护措施来防止用户意外地从「unlswap.org」或「sushl.com」批准合约，我们有责任仔细观察，从而确保永远不会犯错误。由于网络钓鱼通常很容易避免，因此在现代互联网中长大的人，往往会轻视网络钓鱼的有效性以及那些被网络钓鱼的人。实际上，由于易于执行和投资回报，网络钓鱼仍然是最常见的网络犯罪类型。为了规避加密中的网络钓鱼，开发人员社区需要联合起来开发软件，使网络钓鱼者更难窃取资金。

OpenSea这些大型加密项目可能成为网络钓鱼攻击的目标DeathStar提出的防范网络钓鱼攻击的新思路而在不久前刚刚结束的EthDenver2022上，一个名为DeathStar的项目脱颖而出，该项目旨在通过开源良性flashbots来解决网络钓鱼问题。这些flashbots可在资金从钱包中转出时进行检测，一旦检测到资金是转移到不受信任的地址时，MEV领跑者就会立即以两倍Gas费发送一个交易，把用户的所有资产转移到备用地址。。我提到这一点只是为了鼓励其他开发人员继续考虑其他方法来阻止网络钓鱼攻击。尽管网络钓鱼攻击和具有简单而不成熟的内涵，但成为它们牺牲品的危险是非常真实的。由于Web3如此年轻，因此在Web3生态里建立起更好的保护措施来对抗它们之前，与网络钓鱼面对面将是司空见惯的事情。每一次成功的局背后，都会有一个用户停止使用Web3，而Web3生态在没有任何新用户的情况下，将无处可去。原地址

标签：PENOPENWEBOpenSeaOpenLeverageopensea币单个价格WEBOO价格opensea币价格

币安app官网下载热门资讯