今晨,关于OpenSea疑似出现bug一事引发了大量关注与热议。
事件起因为,多位用户今晨于推特发布警告称,OpenSea昨日推出的新迁移合约疑似出现bug,攻击者正利用该bug窃取大量NFT并卖出套利。
NBA球员Jimmy Butler寻求驳回针对参与币安涉嫌推广未注册证券的名人集体诉讼:7月26日消息,美国职业篮球运动员Jimmy Butler要求驳回针对参与币安涉嫌推广未注册证券的名人集体诉讼,称他出现的推文并未推广指定证券。在7月24日提交的文件中,Jimmy Butler的律师辩称,他在2022年2月2日至2月13日期间发布的三条推文并未提及涉嫌未注册的证券,因此无法帮助推广这些证券。他们声称巴特勒的推文并不推荐任何投资,而是警告名人加密货币的认可,敦促潜在的币安客户对加密货币投资进行自己的研究。[2023/7/26 15:59:42]
从攻击者钱包的截图来看,当前失窃NFT涵盖BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多种高价值系列,其中部分已以地板价卖出,但也有一部分已原路转回失窃地址。所谓迁移合约,来自于OpenSea昨日发布的一项新升级。昨日,OpenSea宣布其智能合约升级已完成,新的智能合约已经上线,用户迁移智能合约需签署挂单迁移请求,签署此请求不需要Gas费,无需重新进行NFT审批或初始化钱包。在迁移期间,旧智能合约上的报价将失效。英式拍卖将于合约升级完成后暂时禁用几个小时,新合约生效后,可以再次创建新的定时拍卖。现有智能合约的荷兰式拍卖将于北京时间2月26日3时在迁移期结束时到期。事件发生后,OpenSea于官方推特回应称:“我们正在积极调查与OpenSea智能合同有关的传闻。这看起来像是来自OpenSea网站外部的网络钓鱼攻击。不要点击http://opensea.io之外的任何链接。”Alchemix、Sushiswap贡献者,推特用户@0xfoobar在事件发生后也于推特发布了关于此事的个人调查。@0xfoobar称,黑客系使用30天前部署的辅助程序合约来调用4年前部署的OpenSea合约,该辅助合约同样具有有效的atomicmatch()数据,这可能是起于几个星期前的一场钓鱼攻击,黑客正赶着在所有挂单过期之前进行攻击。
XCarnival将针对不同类型NFT项目提供针对性的流动性优化方案:3月17日消息,元宇宙资产抵押借贷平台XCarnival宣布,将针对不同类型的 NFT 项目提供并优化不同的流动性解决方案。团队表示,头部 NFT 项目抵押借贷的需求较多,蓝筹项目则需要更多流动性的支持,而各类新项目同样具备流动性需求。另一方面,针对 NFT 借贷的安全性问题,XCarnival 研发设计了自有预言机系统。团队表示,项目将于近期开启以太坊跨链。[2022/3/17 14:03:19]
动态 | BitTorrent(BTT) 针对持有波场TRX用户1月份空投已发放完毕:据官方最新消息,BitTorrent(BTT)针对持有波场TRON(TRX)用户1月份空投已经发放完毕,所有波场TRON主网以及SUN Network主网中拥有TRX的地址均可获得对应比例空投的BTT,无需进行任何操作,无论冻结与非冻结皆可获得空投。按照计划,快照于UTC2020年1月11号凌晨0点0分0秒完成。区块高度#16148468的时间戳为1578700800000, 正好为计划时间点。在快照时,TRX总量为99758438039.10713。因此最终的空投比例为 TRX/BTT=100.76609902940115。从TRX阈值来看,只有账户余额大于等于100TRX的账户在此次空投获得BTT。[2020/1/11]
@0xfoobar进一步分析称,此事与OpenSea新迁移合约唯一的关系是,由于OpenSea智能合约升级后所有的历史挂单都将在6天内到期,这其中也包含了所有来自已被钓鱼攻破的地址的挂单,所以黑客不得不立即采取行动。换句话说,这是一场钓鱼攻击,而非一场通用智能合约漏洞,OpenSea的合约并没有出现问题。
韩国出现针对结婚移民女性的数字货币:据韩国经济报道,一个犯罪团伙在去年4-7月份,针对中国国内社交软件上,为了结婚而移民到韩国的4612名女性取了32亿韩币(约1873万人民币)。他们主要通过的方式,向这些受害者宣传投资他们的金融产品年利润可达264%,如果能吸引其他投资人过来,还将获得数字货币作为奖励。[2018/4/16]
@0xfoobar的分析与其他一些大V不谋而合,gmDAO创始人Cyphr.ETH发推称,黑客使用了标准网络钓鱼电子邮件复制了几天前发出的正版OpenSea电子邮件,然后让一些用户使用WyvernExchange签署权限。OpenSea未出现漏洞,只是人们没有像往常一样阅读签名权限。
至此,本次安全事件的原因已基本清晰,受影响群体为曾点击过上述邮件并签署了权限的用户,出于安全起见,建议这些用户暂时撤销OpenSea的所有授权。可用的合约授权签署工具包括https://revoke.cash/或https://zapper.fi/revoke或https://etherscan.io/tokenapprovalchecker或https://approved.zone/或https://tac.dappstar.io/#/,部分网站可能因当前访问量过大无法打开,可以多试试。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。