全球最大的NFT交易平台OpenSea快速修复了一个威胁用户NFT资产安全的漏洞。此前,有用户在社交媒体推特上称,他们经该OpenSea获得免费空投的NFT后,加密钱包里的资产被盗走。
区块链安全公司CheckPointResearch正是从受害者那获得了漏洞线索,研究人员调查发现,OpenSea上存在安全漏洞,黑客可能利用漏洞发送恶意NFT以劫持用户的OpenSea账户并窃取他们的加密钱包。
该安全公司向OpenSea报告了漏洞,双方在9月底就联手修复了这一漏洞,安全事件隔了20多天才得以对外公布,OpenSea专门开辟了一个博客向用户普及去中心化网络安全常识。
从漏洞及攻击方式看,这是一起典型的「钓鱼攻击」,这种攻击在互联网世界并不陌生,但经过多年的安全实践,互联网已经对此构建起一定的防御手段,用户也有了防御意识。但在新兴的去中心化网络区块链上,「钓鱼」这种古老的攻击的方式仍在横行,并蔓延到了NFT资产领域,它利用的恰恰是用户对区块链基础设施的陌生感。
Uniswap LP在网络钓鱼攻击中已损失超350万美元:金色财经报道,据最新数据显示, Uniswap V3 流动资金池遭遇网络钓鱼攻击,截至目前流动性提供者(LP)已损失了价值 3,278 ETH 的 NFT 头寸,约合 3,563,644 美元。根据 MetaMask 安全分析师Harry Denley 表示,受害者似乎是更广泛攻击的一部分,该攻击通过伪装成 UNI 空投发送恶意链接以试图让用户签名,总计攻击了大约 73,399 个地址。
此前 Binance 首席执行官赵长鹏最先披露了相关消息并质疑可能是 Uniswap V3 协议漏洞,另据最新价格数据显示,本文撰写时 UNI 已下挫至 5.54 美元,24 小时跌幅 10%。[2022/7/12 2:07:29]
用户在OpenSea接收NFT空投后钱包被盗
Fairyproof:有攻击者冒充Cryptovoxel官方进行钓鱼攻击盗取NFT:金色财经报道,据Fairyproof监测,3月28日晚22:00左右,有攻击者冒充Cryptovoxel官方进行钓鱼攻击,诱导用户进行授权,偷走了多个NFT(包括CryptovoxelsParcelToken,ArtBlocks:BLOCKSToken,MutantApeYachtClub:MAYCToken等),然后在opensea上出售。攻击者地址为:0x794ca38bc1e15e528a7991ce25707a25ad71b675。Fariyproof会进一步监控相应地址活动情况,并提醒用户批准交易时仔细甄别,不要轻易给予授权。[2022/3/29 14:23:17]
网友在推特上倾诉的加密资产被盗事件引起了区块链安全公司CheckPointResearch的注意。这些加密资产被盗事件有个共同的引子——用户接收了免费的NFT空投后,钱包被洗劫。
派盾: OpenSea 网络钓鱼攻击事件攻击者使用 Tornado.cash混币1,100 ETH:2月20日消息,派盾(PeckShield)在社交媒体发布相关交易记录表示,OpenSea漏洞事件攻击者已将攻击所得部分NFT出售获利后,使用以太坊隐私交易平台Tornado.cash混币1,100ETH,价值约290万美元。
此前报道,OpenSea 疑似遭到网络钓鱼攻击,大量NFT被窃取并卖出套利。本次攻击中共有32位用户签署了来自攻击者的恶意交易,导致用户部分NFT被盗。据统计已经有包括3只Bored Ape、25个NFTWorlds、37个Azuki等近百个NFT遭到被盗, 按照主流资产的地板价计算,黑客至少获取了416.6 万美元。[2022/2/21 10:04:35]
「当我们在网上看到有关被盗加密钱包的传闻时,我们对OpenSea产生了兴趣。我们推测,OpenSea周围存在一种攻击方法,因此我们对它进行了彻底调查。」CPR的产品漏洞研究主管OdedVanunu回忆了一个月前的研究经历。
慢雾安全提醒:近期有黑客团伙进行钓鱼攻击 目前已经有部分交易平台遭受攻击:据慢雾区伙伴无极实验室消息,近期有黑客团伙利用 Windows10 的 IE11/Edge Legacy 和 MS Teams 结合 ms-officecmd 的远程代码漏洞进行钓鱼攻击,攻击者通过构造恶意的 exploit 的链接发送给交易平台的内部人员,并诱导内部人员点击恶意的链接,从而控制内部人员的电脑,来实施对交易平台的盗币攻击。目前已经有部分交易平台遭受攻击,请自查是否有访问过如下的链接或 IP 地址。
攻击者相关信息:
链接: https://giantblock[.]org,https://financialtimes365[.]com
C&C: plusinfo24[.]com
IP 地址: 162.213.253.56[2022/2/11 9:45:23]
在与受害用户取得联系并详细询问后,CPR识别出OpenSea上存在的关键漏洞,证明恶意NFT投放者可利用漏洞劫持用户的OpenSea账户并窃取用户的加密钱包。
声音 | DVP:TradingView组件存在缺陷 多个交易所可被利用实施钓鱼攻击:今日,DVP漏洞平台收到白帽子提交的多个交易所相关漏洞,其中有知名交易所受到影响,这些漏洞都与TradingView组件有关。漏洞详情显示:在网站中使用存在漏洞的TradingView组件时,网站用户存在被钓鱼的风险,攻击者可利用TradingView组件弹出伪造的身份验证弹框,一旦用户输入账号和密码后,这些信息就会被发送到攻击者服务器中,造成账号密码泄露,从而导致用户的隐私安全以及资金安全都会受到一定的影响。
经DVP安全团队研究,临时修复方案可将项目里tv-chart.*.html文件中的代码“if(!!urlParams.customCSS)”改为“if(!!urlParams.customCSS &&urlParams.customCSS.match(/^\\/\\w/))”,更改之后,TradingView组件的customCSS参数将只接收来自网站自身的相对路径资源文件,若需要接收来自其他网站的资源文件,可更改match函数中的正则表达式来进行域名限定。[2019/3/19]
用户在查看恶意NFT?时可能会看到的确认选择
CPR推导出利用漏洞的步骤——黑客创建恶意NFT并将其赠送给目标受害者;受害者查看恶意NFT后,OpenSea的存储域会触发弹出窗口(此类弹窗在该平台的各种活动中很常见),请求连接到受害者的加密资产钱包上;受害者如果为了获得这些「免费的NFT」与之交互,就要点击「连接钱包」,一旦此操作执行,黑客就获得了访问受害者钱包的权限;利用触发其他弹窗这一方式,黑客就可以不断窃取用户钱包中的资产。
由于这些弹窗是从OpenSea的存储域发出的,因此CPR也就锁定了该平台的漏洞源头。如果用户没有注意到描述交易的弹窗中的注释,他们很可能点击弹窗,最终导致整个加密钱包被盗。
CPR识别并推导出了漏洞及利用路径,但OpenSea在后续针对此漏洞的声明中称,无法确定任何利用此漏洞的实例。
CPR表示,9月26日,他们向OpenSea披露了调查结果,对方响应迅速并共享了包含来自其存储域的iframe对象的svg文件,因此CPR可以一起审查并确保关闭所有攻击媒介。在不到1个小时时间里,OpenSea修复了该漏洞并验证了修复。
OpenSea的声明显示,这些攻击依赖于用户通过第三方钱包为恶意交易提供签名来批准恶意活动,修复漏洞后,他们已经与和平台集成的第三方钱包直接协调,以帮助用户更好地识别恶意签名请求,以及帮助用户阻止和网络钓鱼的举措攻击。「我们还围绕安全最佳实践加倍进行社区教育,并启动了一个关于如何在去中心化网络上保持安全的博客系列。我们鼓励新用户和经验丰富的老手阅读该系列。我们的目标是让社区能够检测、减轻和报告区块链生态系统中的攻击,例如CPR所展示的攻击。」
别将钱包轻易与陌生网址相连
这已经不是第一起发生在NFT资产领域的安全事件,受害者也不仅是普通用户,但更集中在普通用户群体中,因为无论是平台还是项目方的的NFT资产被盗,都会影响到普通用户的收益。
仅今年3月就发生了两期知名度较高的NFT资产被盗事件。
先是3月15日,社交NFT代币平台Roll的热钱包被盗,黑客从中盗取了部分WHALE和SKULL等NFT社交代币,其中部分资金随后被转移到交易混合器Tornado。据分析称,攻击者在此过程中净赚了约570万美元的ETH。受影响的社交代币价格大幅下跌。
紧接着的3月17日,NFT交易市场NiftyGateway的数名用户遭遇了账号被盗,有受害者称,黑客从其帐户中窃取了价值数千美元的数字艺术品;其他被黑客入侵的用户称,他们存档的信用卡被用来购买额外的NFT。NiftyGateway后续的声明中提到,遭遇盗号的账户因没有启用双因素认证,而黑客通过有效账号的认证信息获得了访问权限。
在非同质化代币NFT越来越多的与收藏品、有价值的加密资产相连时,黑客的罪恶之手正在伸向NFT持有者的钱包,这也再次反映了NFT依托的区块链网络安全性的脆弱。
有经验的用户曾总结过NFT的攻击向量,比如,黑客对你的电脑植入木马病文件,盗取你的登录信息和其他资料;或者通过恶意软件记录键盘输入,窃取你的密码;抑或通过恶意软件来获取屏幕截图,从而获得敏感信息;黑客还可能通过劫持DNS,创建钓鱼页面,取用户钱包的助记词。
这样看下来,这些攻击手段与黑客攻击互联网时所用的方式并无多大差异,但在互联网应用上,用户已经从自己或别人的经验中获得了一些防御意识,比如,不随便点开陌生链接。但在使用区块链网络和加密钱包时,一些用户变成了「常识归零」的状态,这与用户对加密资产及区块链基础的陌生感有关,也再次说明区块链基建在普及层面的不成熟。
普通用户似乎只能从一起起的安全事故中去学习防范技能,普及安全常识也成为加密社区致力做的工作之一。
NFT创作者和收藏家JustinOuellette就曾在推特上科普过NFT资产的保护措施,「不要在多个平台上重复使用相同相同的密码;要学会启用双因素认证;要小心那些最小化元蒙版UI的网站;不要透露你的助记词给任何人。」
资产被盗还仅仅是NFT安全的一个层面。近期,华中科技大学区块链存储研究中心和HashKeyCapitalResearch对NFT的研究报告显示,NFT系统是由区块链、存储和网络应用集合而成的技术,其安全保障具有一定的挑战性,每一个组成部分都有可能成为安全的短板,致使整个系统受到攻击,仿冒、篡改、抵赖、信息泄露、拒绝服务和权限提升等方面都是NFT系统存在的风险可能。
在安全之路上,NFT要走的道路还很远。
脸书创始人兼首席执行官扎克伯格表示“元宇宙”将成为移动互联网的“继任者”,相信脸书将在今后大约5年内,从“一家社交媒体公司变成一家元宇宙公司”.
1900/1/1 0:00:00金色财经报道,据网信浙江消息,近期,浙江省开展联合专项整治行动,全面打击利用公共资源参与虚拟货币挖矿和交易行为.
1900/1/1 0:00:00金色财经报道,10月20日消息,CoinbaseNFT官方公布了前四个交易平台合作的NFT创作者合作方.
1900/1/1 0:00:00随着昨天特斯拉股票再度暴涨,已经是世界首富的elonmusk的身家达到了惊人的3351亿美元,不但把贝佐斯远远甩在了身后,更是等于中国前八大富豪的财富之和.
1900/1/1 0:00:0010月15日,美国首支比特币期货ETF获批。美国证监会批准ETF巨头ProShares申请的比特币期货ETF上市,代码BITO.
1900/1/1 0:00:00EthSign创始人闫欣、HashKey研究员曹一新、以太坊研究者姚翔、DODOCEO雷达熊分别从各自角度分享对MEV的看法.
1900/1/1 0:00:00