NFT被盗的各个手法大家应该经过这么久的市场教育已经比较熟悉了,主要是通过诱导你点击某个按钮触发approve事件将你的NFT授权给别人,从而对方可以转移走,这种手法其实已经识别度很高了,毕竟它需要把小狐狸弹出来后,让你交一笔gas费完成approve操作,一到了交钱的时候毕竟大家也会意识到有问题了,但是我今天要讲的这个手法真的让我后背发凉,如果我的朋友没有遇到我真的不会意识到,如果我遇到了我也一定会中招!所以大半夜的在凌晨3点我需要将它写下来分享给大家,请转发预警周围的朋友们!
今天晚上我的一位朋友说他登录了一个假冒网站,然后仅仅进行了签名,所有授权给opensea即曾经挂过单的NFT均被转走了!这个假冒网站是冒充最近因空投大热的Blur,所以每当出现这种行业热度很高的事情时就一定会冒出来几个浑水摸鱼捞一把的黑客们。
去中心化电子协议签署平台EthSign在Polygon网络已聚合超10万个签名:7月24日消息,去中心化电子协议签署平台EthSign宣布,EthSign Signatures Beta版本在Polygon网络上已经聚合超10万个签名。
此前报道,6月2日,去中心化电子协议签署平台EthSign宣布正式上线Signatures Beta版本,新版本提供与Web2电子签名平台相同的功能、用户体验和法律有效性,同时运用区块链提高透明度和安全性。此次Beta版的新智能合约将gas消耗减少了9倍,并增加了只读查看者权限、共同签署人之间的签署顺序、PDF注释和文本字段集、无密码的地址锁定加密、通过EPNS和Blockscan Chat推送通知等新功能。[2022/7/24 2:33:59]
Blockstream公开新研究,异步 Schnorr 门限签名方案 ROAST:金色财经消息,比特币和区块链基础设施公司 Blockstream 公开新研究异步 Schnorr 门限签名方案 ROAST。Blockstream 此前对比特币 Schnorr 签名的具体多签机制 MuSig、MuSig2 以及 FROST 等做出贡献,ROAST 是对 FROST 等门限签名方案的简单封装,保证了一定数量的诚实签名者,即使在恶意攻击或网络延迟较大等情况下,也始终可以获得有效的签名。Blockstream 的实证绩效评估表明 ROAST 可以很好地扩展到大型签名者组。[2022/5/25 3:40:01]
这是它被盗的那笔交易记录,可见在一笔交易中5个NFT被转走了。
动态 | V神在释放以太坊开发者Virgil Griffith的请愿书上签名:V神VitalikButerin刚刚在推特表示,我在释放以太坊开发者Virgil Griffith的请愿书上签名。据此前消息,纽约南区美国检察官办公室和联邦调查局宣布,已逮捕并指控Virgil Griffith违反美国制裁法。[2019/12/2]
然后我们看到这个交易的发起方form已经被标记为钓鱼地址,下面的交互合约地址旁边有一个Seaport字样,还被打了一个绿色的对勾。
那可能是和这个Seaport合约进行了交互才导致被盗的?但是这个合约被打了绿标应该是健康认证过的呀,Seaport是什么呢?
现场 | 林瑶:通过签名加密的方式将数据送到云端,或者说送到链上,实现数据的完备性完整性:在今日隐私计算发展研讨会的圆桌讨论中,摩联创始人兼CEO林瑶表示,物互联网的设备其实是这个数据产生的一个非常重要的一个承载者,或者说他是个源头。同时IEC的分析报告说到2025年,会有将近400亿的设备联网,这将是未来人口的五将。所以在这个数据的源头就是在物联网的设备上面,如果说能够对数据进行一次保护,同时对设备进行可行的认证,使得这个数据能够被可信的采集送到云端,通过签名加密的方式送到云端,或者说送到链上,实现数据的完备性完整性,包括不可篡改性。同时我们认为可能更敏感的数据,包括像生物特征,一个人脸,指纹的信息,生物特征数据事实上是不是应该留在就留在这个社会层面,不要传到任何地方,商业机构实际上不应该去保存生物特征。这件事情其实我觉得是很有意义,然后同时对于专业性是有要求的,也是一个很有挑战的一个事情。
所以我们希望通过区块链的技术,然后去物联网使得数据的隐私可以得到保护,同时在源头在设备侧能够帮助接下来数字经济的核心的运行。这个就是我们现在专注的一个领域,就是会专注在物联网的端侧。[2019/9/17]
Seaport是opensea在今年5月20日推出的一个NFT交易协议,用于取代已经使用了4年之久的Wyvern,它的本质就是一个处理NFT交易的订单薄智能合约,也就是你所有在opensea进行的NFT交易行为挂单、offer等全部走的这个协议,这是opensea官方的协议,怎么可能会出问题呢?
动态 | 暗网丝绸之路创始人Ross Ulbricht的赦免请愿书已有近18万人签名:据ambcrypto报道,暗网丝绸之路创始人Ross Ulbricht的赦免请愿书已有177324人签名。加密届的知名人物Tiffany Hayden在Twitter上分享了一段视频,敦促总统候选人Andrew Yang帮助释放Ross Ulbricht。据报道,Tiffany Hayden向Andrew Yang的竞选活动捐赠了13万美元,希望他能继续支持释放Ross的运动。[2019/6/24]
然后我打开了被盗NFT的交易,发现其被执行了MatchOrders操作从而被转移给了另一个地址,MatchOrders即Seaport中匹配到了订单,看着像是你情我愿呀这不是Match到了吗?
为了帮我的朋友破案,我壮着胆子试,打开了这个钓鱼网站并连接钱包,然后出现了一个签名,看着挺正常的人畜无害,但里面肯定有鬼我不敢点,先放在一边。
因为Seaport是opensea的NFT交易协议,然后我朋友说他所有挂单的NFT均被盗了,并且刚才看到是执行了协议内的MatchOrder即匹配到了买家完成成交,挂单的逻辑就是我将某个NFT背后的collection执行approve方法授权给opensea,让opensea有权限转移我的NFT即托管,这个过程是要交gas费的,然后我再将某个NFT挂单时则是进入到opensea链下的订单薄中即Seaport中,当有人对该订单进行交易时opensea再进行链上资产转移操作,那我来到opensea试着挂一个看看Seaport到底在搞什么鬼。
当我点击listing后,卧槽出来的签名居然和我刚才在钓鱼网站遇到的一模一样!这说明什么,大胆推演,钓鱼网站执行了Seaport让我在不知情的情况下在opensea进行了交易!
我们来看一点钓鱼网站弹出的签名中到底都有什么内容。
首先有一个itemType,它指的是本次交易的目标资产类型,1、2、3分别表示ERC20、721和1155,所以它是要盯着我的NFT啊。
然后offerer字段里面是我的地址,Seaport中若itemType为NFT类型即ERC721/1155,则offerer是卖方要把自己的NFT卖出去,若为ETH/ERC20这种“钱”的则offerer是买方来花钱买NFT的,所以这里填写的是我的地址,太歹了这个签名里面居然要把我的NFT转出去!
然后我们再往下看,token字段里面有一串地址。
我把它复制粘贴到opensea打开后,歹,歹啊!居然要偷走我的熊市之光debox小企鹅!
而正如之前分析的一样,debox也恰好就是我曾经在opensea挂单过的NFT!
再往下看,recipient字段中是一个我很陌生的地址。
我将该地址复制后在我朋友被盗的那个交易中进行检索后,果然出现在了里面命中了!
所以是该假冒网站调用了Seaport协议让我对opensea进行了操作从而转移走了我的NFT,具体的机理还需要深入研究,但是Seaport作为opensea官方协议居然出现了这种问题,一定是需要负有责任的,至少应该要做到鉴权,用随机数验证交易来源也可以一定程度避免该问题。我不知道中招的人有多少,但是请大家一定铭记如果你在签名时遇到了如上我截图的Seaport字样,以及签名内容中包括了offerer等,请一定要谨慎!我们BuidlerDAO孵化的防钓鱼安全插件www.metashield.cc也会尽快想办法将该风险识别更新上去!请转发让更多人预警,也强烈要求opensea出具该问题的解决方案。
转自Jasonchen
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。