2月19日星期六,一场黑客攻击在OpenSea用户中造成了数名受害者。盗贼通过网络钓鱼的方式免费窃取了不可伪造的代币(NFT)。让我们来看看发生了什么。
A new hack for OpenSea
在上次被黑之后不到一个月,不可伪造的代币(NFT)平台OpenSea再次成为新闻。虽然这次与它无关,但它的几个用户在周六晚上得到了不愉快的惊喜,他们的NFT被免费送走了。
据OpenSea的首席执行官Devin Finzer称,该市场的32名用户因允许智能合约转让他们的珍贵藏品而被欺诈。使用的网络钓鱼方法仍然未知,但这里的缺陷是人为的,不是平台的责任:
据我们所知,这是一次网络钓鱼攻击。我们不相信它与OpenSea网站有关。迄今为止,似乎有32名用户签署了来自攻击者的恶意有效载荷,他们的一些NFT被盗。
– Devin Finzer (dfinzer.eth) (@dfinzer) 2022年2月20日
为了成功地完成他的行动,黑客在大约一个月前部署了他的智能合约。这让未来的受害者有时间在他们不知情的情况下签署 “半交易”,这将使小偷免费获得他的战利品。盗贼所要做的就是在他选择的时间内最终验证 “销售”,使他能够在一次交易中收回数笔NFT。
对于那些技术性较强的人来说,这个过程在这个主题中得到了更详细的解释:
。
对操作系统的事情感到困惑,所以。
攻击者让人们签署了一半有效的wyvern订单,除了目标(攻击者合同)和calldata,订单基本上是空的,攻击者签署了另一半订单。
– Neso (@Nesotual) February 20, 2022
行动成功后,黑客只需出售他的捕获物,并通过龙卷风现金搅拌机洗净一切。因此,该诉讼将达到170万美元。
在OpenSea,如果我们随机抽取一个与这一黑客行为有关的NFT,我们确实可以在历史上看到,第一笔交易是无偿提供给罪魁祸首的地址,一小时后他以13.5ETH.
转卖。
人类仍然是头号弱点
讽刺的是,这是在该平台的NFTs迁移到新的智能合约前24小时发生的。新合同是对最新的OpenSea黑客攻击的修复,该黑客攻击允许以远低于市场价格进行销售。
对于肇事者的所谓身份有一些猜测,但这仍然是猜测,在撰写本报告时,没有什么可以肯定的说法。
无论如何,这次黑客攻击提醒我们,对我们签署的交易和给予的授权保持警惕是多么必要。假的项目账户在社交网络上很多,钓鱼邮件或私人信息也是如此。很多时候,第一个缺陷是人本身。没有人能够避免错误,这就是为什么建议永远不要 “匆忙 “进行交易,或在身体和情绪状态不是100%时操纵自己的资产。