木星链 木星链
Ctrl+D收藏木星链
首页 > Polygon > 正文

NFT:NFT交易平台安全风险频发 OpenSea、X2Y2安全事件分析

作者:

时间:1900/1/1 0:00:00

一、OpenSea事件描述

近日,OpenSea首席执行官Devin Finzer在一条推文表示:"到目前为止,有32个用户签署了来自攻击者的入侵,他们的一些NFT被盗。"并暗示可能是一个欺诈性网站造成的。

"我们正在积极调查与OpenSea相关的智能合约的漏洞传闻,这似乎是源于OpenSea网站之外的钓鱼攻击。请不要点击opensea.io以外的链接。"

SharkTeam第一时间对此事件进行了攻击技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

Ronin Network推出NFT市场Mavis Market:5月17日消息,以太坊侧链 Ronin Network 宣布推出 NFT 市场 Mavis Market,以支持 Ronin 上 NFT 的交易。用户可以使用 AXS、WETH、USDC 和 RON 购买 NFT。NFT 作者可以自行设置版税,Mavis Market 则将收取 2.5% 的固定费用,其中 2% 的费用分配给 Sky Mavis,0.5% 分配给 Ronin 财库。[2023/5/17 15:08:56]

二、OpenSea事件攻击原理分析

攻击者账户(Fake_Phishing5169):0x3e0defb880cd8e163bad68abe66437f99a7a8a74

攻击合约(Fake_Phishing5176):0xa2c0946ad444dccf990394c5cbe019a858a945bd

多个蓝筹NFT系列地板价出现普跌行情:4月17日消息,据NFTGo行情显示,多个蓝筹NFT系列地板价出现普跌行情:CoolCatsNFT系列地板价今日一度跌破1ETH,现报价1.03ETH,30日跌幅27.97%;DoodlesNFT系列地板价跌至2.629ETH,30日跌幅27.83%;CLONEX-XTAKASHIMURAKAMI系列NFT地板价跌至2.575ETH,30日跌幅25.5%。[2023/4/17 14:08:03]

1. 创建攻击合约

交易:0x2b8bcaa9dc90cf0a174daf0e9f4fd4cbc5fa1a3b32e2213238feb186559e8779

OpenSea:不会托管用户NFT,因其限制用户并损害安全性:7月28日消息,OpenSea表示,近看到很多关于Solana市场托管NFT的讨论。对此,OpenSea认为,市场不应要求拥有用户NFT的所有权才能将其挂单出售。这种做法在Solana NFT中更为常见。虽然一些市场要求卖家托管他们挂单的NFT,但OpenSea没有这样做。托管用户NFT的市场限制了选择和实用性,并损害了安全性。当用户必须将NFT托管给市场时,用户被迫放弃所有权。NFT离开用户的钱包,即在用户的物品售出之前,用户无法再从所有权中受益。这种做法也限制了用户的安全选择,NFT离开用户钱包,由市场的智能合约持有。因此,用户失去了选择如何或在何处保护NFT的能力。甚至如果市场出现问题,用户将再无法访问其NFT。OpenSea最后表示,因此在其开发Solana NFT市场时,不会托管用户NFT。[2022/7/28 2:42:12]

2. 发起攻击

NFT全栈解决方案Atomic Form完成种子轮融资,Animoca Brands等参投:1月26日消息,NFT和数字媒体的全栈解决方案Atomic Form宣布完成种子轮融资,Sino Global Capital、Samsung Next、Wave Financial、Mechanism Capital、Animoca Brands、Thankyoux、Brendan Dawes、JN Silva、Parallel和Nifty Gateway联合创始人 Duncan Cock Foster等参投。[2022/1/26 9:15:07]

以交易0x9ce04d64310e40091c49c53bac83e5c781b3046e53c256f76daf0e8a73458dad为例,

执行过程如下:

WyvernExchange合约atomicMatch函数如下:

其中,订单签名校验requireValidOrder函数如下:

函数中包含了挂单授权(签名)的校验,因此,攻击者发起攻击交易,将NFT从原来持有者账户(0xf2d29bbd9508cc58e2d7fe8427bd2bc0ad58e878, 记为0xf2d2)转账到攻击者账户,需要获取到账户0xf2d2的授权(签名)。

攻击者要想获取到其他账户的签名,可以通过以下方法:

(1)获得账户的私钥

(2)签名重放攻击

(3)通过网络钓鱼等方式获取用户的私钥或者签名。

这里,攻击者明显并没有获取到账户0xf2d2的私钥,而且函数中有防止签名重放的措施:

另外,也没有从交易中发现签名重放攻击。

因此,我们分析,被攻击的用户意外签署了来自攻击者的恶意交易,攻击者获得了用户的挂单授权,然后利用该授权签名窃取了用户的NFT。综上所述,我们认为此次攻击事件是由链下的网络钓鱼攻击引起的,而不是链上合约代码漏洞造成的。

三、X2Y2安全事件

无独有偶,2022年2月18日,大V账号(DiscusFish)在Twitter上面指出,NFT交易平台X2Y2上面NFT挂单挖矿存在风险。

此外,还指出X2Y2上挂单挖矿模式所采用的交易 Exchange 合约是可升级合约,升级权限(proxyAdmin的owner)是官方单地址,理论上存在官方通过升级合约,然后转走用户NFT的可能。

X2X2团队针对可升级合约的漏洞,采用多签钱包和时间锁对合约进行了修复:

四、安全建议

OpenSea被攻击事件属于网络钓鱼攻击,而X2Y2的问题在于合约漏洞。鉴于此,我们提出以下建议:

1.项目方在开发过程中,要保证业务逻辑以及合约代码的严谨性,选择多家知名负责的审计公司进行多伦审计。

2. 项目参与者在涉足区块链项目时请提高警惕,尽可能选择更稳定、更安全,且经过完备多轮审计的公链和项目,在发起交易、签名授权时要谨慎,尽可能地只通过官方指定的网站参与投资。

标签:NFTSEAENSPENKNFT币SEADGensoKishi Metaverseapenft币近期的前景

Polygon热门资讯
EFI:当DeFi沦为黑客的“提款机” 我们如何保证它的安全性?

区块链技术的诞生,除了衍生出加密货币这类新兴资产以外,也为传统金融、数据隐私、供应链、跨境汇款等应用领域带来革命性的突破.

1900/1/1 0:00:00
NFT:如何看待体育品牌李宁将Web3整合到现实生活中,元宇宙来临了吗?

最近,李宁在官方微博上表示,“我们邀请了Web3的BAYC#4102来做李宁新的时装店经理。“根据李宁官方微信此前发布的信息,李宁将于4月28日在北京快闪店展示BAYC#4102.

1900/1/1 0:00:00
QUO:福布斯杂志:DAO的构想很美好 但现实却很骨感

投资者和球迷们还有一切可以应用DAO场景的地方真的想好了吗?在web3和去中心化的构建中,有一个奇怪的方面,那就是改革金融基础设施的热情,这就是对过去改革失败的东西重新改革.

1900/1/1 0:00:00
PAY:PayPal CEO:数字钱包可以简化支付 关注 DeFi 和智能合约技术

PayPal 首席执行官 Dan Schulman 在财报会议上表示,美国人在银行账户之间转移资金仍然要依赖过时老旧的系统,而数字钱包可以大大提高政府发放刺激支票的效率.

1900/1/1 0:00:00
NFT:NFT是一场不能输的战役 附4月21日数字藏品关注重点

近日,总资产管理规模 1500 亿美元的桥水基金(Bridgewater Associates)计划支持一家外部加密投资基金,从而开始涉及加密领域.

1900/1/1 0:00:00
DEFI:为何 DeFi 可能比传统金融的风险更小

就其核心而言,创新是令人兴奋的。创新涉及到一种新的运作方式,可以为消费者和企业带来更高效率和更便捷的承诺。想想汽车、晶体管或智能手机.

1900/1/1 0:00:00