OpenSea CTO发文回顾钓鱼攻击:外部攻击导致,并非自身系统性问题_SEA:OPEN

作者:OpenSeaCTONadavHollander

2月21日,OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉,这次攻击导致了大约300万美元资产被盗,包括无聊猿,Azuki和CloneX等知名NFT系列。

本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要,包括提供一些web3方面的技术教育。

韩国加密交易所 Korbit 引入新韩银行的身份验证服务:6月1日消息,韩国加密交易所 Korbit 宣布引入新韩银行的身份验证服务,Korbit 将使用该服务并应用多因素认证(MFA)进行身份认证和存取款。

新韩银行的身份验证服务 Shinhan Sign 是韩国金融界获得科学与信息通信技术部认证为“电子签名认证业务操作标准”,其合规性得到认可,并被韩国通信委员会指定为身份验证机构。[2023/6/1 11:53:05]

在审查了这次攻击中的恶意订单之后,可以看出以下一些数据点:

Web3娱乐技术开发商Sortium完成775万美元种子轮融资:金色财经报道,提交给美国证券交易委员会 (SEC) 的文件显示,Web3 娱乐技术开发商 Sortium 在种子轮融资中筹集了 775 万美元,投资者包括加密货币对冲基金 Arca。Sortium 首席执行官 Marc Seal 对Coindesk表示,本轮还有其他投资方参投,但没有透露具体名称。

Sortium 专注于展示其技术框架,以帮助潜在合作伙伴和客户了解生成式人工智能系统、区块链和动态私营经济系统可以实现的目标,这家初创公司还准备推出其首款玩赚游戏。在资金方面,Sortium 仍在考虑从对种子轮感兴趣的投资者那里再接受最多 200 万美元的资金,该公司还在制定如何以及何时进行 A 轮融资的战略。[2023/1/14 11:11:39]

所有恶意订单都包含来自受影响用户的有效签名,表明这些用户确实在某个时间点某处签署了这些订单。但是,在签署之后时,这些订单都没有广播到OpenSea。

Nirvanameta将同LOOP合作,共创可扩展性DeFi平台:据官方消息,Nirvanameta将同LOOP合作,共创可扩展性,速度,安全,灵活,EVM兼容的DeFi平台。

Loop链的公共主网现已通过XT Exchange集成打开。目前NirvanaMeta将同LOOP一同进行NFT收集、Oracle和Defi集成等。[2022/6/20 4:39:00]

没有恶意订单针对新的合约执行,表明所有这些订单都是在OpenSea最新的合约迁移之前签署的,因此不太可能与OpenSea的迁移流程相关。

32名用户的NFT在相对较短的时间内被盗。这是非常不幸的,但这也表明了这是一场有针对性的攻击,而不是OpenSea存在系统性问题。

这些信息,再加上我们与受影响用户的讨论和安全专家的调查,表明由于意识到这些恶意订单即将失效,因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。

在这场网络钓鱼之前,我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。

例如,如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组,您会看到一个引用Wyvern的类型化数据有效负载,如果发生一些不寻常的事情,则会向你发出提醒。

“不要共享助记词或提交未知交易”,这种教育在我们的领域已经变得更加普遍。但是,签署链下消息同样需要同等的思虑。

作为一个社区,我们必须转向使用EIP-712类型数据或其他商定标准)来标准化链下签名。

在这一点上,您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的,但这种更改实际上使订单签署更加安全,因为你可以更好地看到你签的是什么。

此外,强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。

尽管攻击似乎是从OpenSea外部发起的,但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:93ms0-1:661ms