NFT:OpenSea遭遇钓鱼攻击 波及资产超170万美元

NFT安全问题再受瞩目

昨晚，有报道称NFT收集者一直在从钱包中丢失NFT和以太坊，OpenSea疑似遭到网络钓鱼攻击瞬间成为大众密切关注的话题。

OpenSea首席执行官DevinFinzer及时对涉嫌网络钓鱼作出回应，本次网络钓鱼攻击波及的资产总额达640ETH，相关NFT已经在被标记为“Fake_Phishing5169”的钱包之中。

数字身份管理服务商Linktree与OpenSea合作推出“NFT Gallery”:5月17日消息，数字身份管理服务商Linktree宣布与OpenSea合作推出全新NFT功能“NFTGallery”，允许创作者展示他们的NFT并围绕所有权建立一个社区。

Linktree表示，此次“NFTGallery”产品的推出将让创作者用一种创新方式策划数字身份，用户不仅能在Linktree上展示他们的NFT，还可以添加OpenSeaNFT集合URL生成预览，然后连接他们的Metamask钱包以验证NFT集合所有权。

用户在Linktree上连接Metamask钱包后最多可以展示6个NFT，也可以点击直接进入OpenSea以查看和购买可用的NFT并将其用作Linktree上的个人资料图像或背景。此外，Linktree还引入了一项全新NFT锁定功能，允许创建者使用智能合约地址锁定他们的链接，只有拥有来自特定集合的NFT的用户才能通过连接他们的钱包来解锁链接以证明所有权。[2022/5/17 3:23:01]

据链上数据显示，该恶意钱包于去年12月进行了第一笔交易，但网络钓鱼攻击在昨天才开始。此外，该钱包还一直在与另一个被标记为OpenSea网络钓鱼的钱包进行交互。

Mark Cuban支持的NFT市场Mintable对OpenSea发起「吸血鬼攻击」:2月2日，由 NBA 达拉斯独行侠队老板马克·库班（Mark Cuban）支持的 NFT 市场 Mintable 正通过亏本出售 NFT 收藏品的方式对头部 NFT 市场 OpenSea 发起「吸血鬼攻击」（吸血鬼攻击是一种向特定平台用户提供奖励或激励以将他们引诱到另一个平台的策略），总部位于新加坡的 Mintable 在 1 月底时曾以低于底价 1 到 2 ETH 的价格出售了 9 款 Mutant Ape Yacht Club NFT，该平台表示打算重复此类销售以削弱 OpenSea 的市场地位。

OpenSea 最近成为了 NFT 市场「吸血鬼攻击」的主要目标，2021 年 10 月，其竞争对手 Infinity 曾对 OpenSea 用户进行特定空投。[2022/2/2 9:27:38]

在过去的24小时内，大量来自底价高的收藏的NFT被转移，例如BoredApeYachtClubNFT、CoolCats、Doodles和AzukiNFT。Fake_Phishing5169地址还通过竞争对手NFT市场Rarible和LooksRare进行了交易。

OpenSea1月交易额超34.8亿美元，创月度交易额最高记录:1月17日消息，据Dune Analytics数据显示，截至目前 OpenSea 1 月交易额已超过 34.8 亿美元，打破去年 8 月创造的月交易额最高记录 34.2 亿美元。[2022/1/17 8:54:25]

对于此次事件，OpenSea表示正在进行积极调查。最新消息称，OpenSea官方发推表示，目前这次网络钓鱼攻击还没有调查出确定确切的来源，但想有一些EOD更新：已将受影响的个人名单缩小到17人，而不是之前提到的32人。最初的计数包括与攻击者有过“交互”的任何人，而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃，超过15小时没有恶意合约活动。

过去24小时SHIB销毁ETH超OpenSea和Uniswap V3:10月28日，据Ultrasound.money数据显示，过去24小时SHIB链上转账销毁手续费达784.16枚ETH，总价值约310万美元，超越 OpenSea 和 Uniswap V3，排名第四。[2021/10/28 6:17:01]

不过DevinFinzer在事情刚发生时就推特上表示，该漏洞可能根本没有袭击OpenSea，到目前为止，似乎有32位用户签署了来自攻击者的恶意有效载荷，并且他们的一些NFT被盗。

简单来说，DevinFinzer猜测人们可能收到了伪造成官方的电子邮件，诱导他们将NFT转移到其他人的钱包中。

此外，DevinFinzer还表示，推特用户Neso的帖子与他对所发生事情的理解一致。

Neso发推解释了技术方面的可能性，Neso表示，丢失资产的人可能签署了一半有效的wyvern订单，攻击者签署了另一半订单。wyvern合约非常灵活，OpenSea会在其前端/api上验证订单，以确保用户签署的内容将按预期运行，但同样的合约仍然可以被其他人使用，如果人们签署这样更复杂的订单，攻击者就可以拿走得到正式认可的所有东西。

这次攻击恰逢新智能合约Wyvern2.3的发布，OpenSea当时要求用户迁移他们的列表，不少猜测表示或许与此有关。不过OpenSea的攻击来源依旧没有得到确切的消息，这些猜测也只是猜测，关于后续的故事，仍需继续等待OpenSea的调查结果。

有趣的是，此次事件中攻击者的交易操作着实让很多人摸不着头脑。

比如为什么网络钓鱼者在拿走他的一些资产后选择归还部分资产？

再比如，为什么归还部分资产之后向naterivers.eth发送了50个以太坊？

......

是良心发现还是耀武扬威？恐怕这些谜之操作，也只有攻击者自己知道。

最后，为了防止NFT和以太币的丢失，最好通过Etherscan的代币批准功能撤销访问权限，最好将资产转移到硬件钱包中。

Etherscan的代币批准功能链接如下：

https://etherscan.io/tokenapprovalchecker

作者：Corn

标签：NFTPENENSOPENKAMAX Vault (NFTX)OpenLeverageKakashi SenseiOpenOcean

Gateio热门资讯