作者:Corn
出品:鸵鸟区块链
昨晚,有报道称NFT收集者一直在从钱包中丢失NFT和以太坊,OpenSea疑似遭到网络钓鱼攻击瞬间成为大众密切关注的话题。
OpenSea首席执行官DevinFinzer及时对涉嫌网络钓鱼作出回应,本次网络钓鱼攻击波及的资产总额达640ETH,相关NFT已经在被标记为“Fake_Phishing5169”的钱包之中。
据链上数据显示,该恶意钱包于去年12月进行了第一笔交易,但网络钓鱼攻击在昨天才开始。此外,该钱包还一直在与另一个被标记为OpenSea网络钓鱼的钱包进行交互。
数据:OpenSea股份在创企股票二级市场平台Birel上以51%的折扣交易:金色财经报道,与许多初创公司一样,私人初创公司OpenSea不允许员工或投资者在未经董事会批准的情况下出售其股份。然而,在创业公司投资领域的一个不起眼的角落里,OpenSea的股票可以以很高的折扣出售,许多加密领域蓝筹公司的股份也是如此。
专注于Pre-IPO公司的数据提供商ApeVue创始人兼首席执行官Nick Fusco解释称:“即使私人公司限制其股份交易,投资者仍有可能通过交易SPV(特殊目的机构)的所有者权益来买卖该公司股份的间接权益,而SPV又拥有该私人公司的股票。”
截至3月5日,OpenSea的股票在创业公司股票二级市场平台Birel上的交易价格有51%的折扣。一位不愿透露姓名的人士称,二级市场上95%的OpenSea股票都采用了SPV的形式,每批股票都附属于自己的实体。但他们认为这会破坏流动性,阻碍交易。
另一位投资者、金融科技公司的创始人兼天使投资人表示,投资者更愿意直接购买股票,因为SPV需要额外的费用,而且控制权更少。[2023/4/8 13:52:06]
在过去的24小时内,大量来自底价高的收藏的NFT被转移,例如BoredApeYachtClubNFT、CoolCats、Doodles和AzukiNFT。Fake_Phishing5169地址还通过竞争对手NFT市场Rarible和LooksRare进行了交易。
红杉资本开放Arc Europe申请,旨在帮助Pre-seed和种子阶段公司发展:3月21日消息,红杉资本宣布开放Arc Europe申请,Arc Europe计划适用于积极致力于创意、产品和公司的Pre-seed轮和种子阶段公司的创始人。申请截止时间为北京时间2023年4月3日07:59。Arc Europe23将于2023年5月9日至6月22日举行。Arc提供由经验丰富的合作伙伴讲授的课程,并在该计划开始时提供50万至100万美元的资金。[2023/3/21 13:16:54]
对于此次事件,OpenSea表示正在进行积极调查。最新消息称,OpenSea官方发推表示,目前这次网络钓鱼攻击还没有调查出确定确切的来源,但想有一些EOD更新:已将受影响的个人名单缩小到17人,而不是之前提到的32人。最初的计数包括与攻击者有过“交互”的任何人,而不是网络钓鱼攻击的受害者。这次攻击似乎不活跃,超过15小时没有恶意合约活动。
OpenZeppelin发布错误漏洞修复分析:金色财经报道,Whitehat Zb3 于 2021 年 8 月 21 日在 OpenZeppelin 的 TimelockController 合约中提交了一个严重的可重入漏洞,该漏洞影响了 Immunefi 漏洞赏金平台上托管的一个项目。该项目选择保持匿名,已向白帽子支付了一笔未公开的金额(包括匿名奖金),OpenZeppelin 慷慨地向白帽子支付了 25,000 美元的奖金,以表彰他们对社区安全的贡献,并发布了补丁。
据其所知,这是 OpenZeppelin 在其开源智能合约库中唯一存在的严重漏洞。该漏洞已在受影响的项目中进行了修补,OpenZeppelin 已发布了修复该漏洞的更新合约版本。所有使用 TimelockController 的项目都应该迁移。
据悉,Immunefi 是智能合约和 DeFi 项目的首要漏洞赏金平台。(medium)[2021/9/3 22:56:37]
不过DevinFinzer在事情刚发生时就推特上表示,该漏洞可能根本没有袭击OpenSea,到目前为止,似乎有32位用户签署了来自攻击者的恶意有效载荷,并且他们的一些NFT被盗。
简单来说,DevinFinzer猜测人们可能收到了伪造成官方的电子邮件,诱导他们将NFT转移到其他人的钱包中。
此外,DevinFinzer还表示,推特用户Neso的帖子与他对所发生事情的理解一致。
Neso发推解释了技术方面的可能性,Neso表示,丢失资产的人可能签署了一半有效的wyvern订单,攻击者签署了另一半订单。wyvern合约非常灵活,OpenSea会在其前端/api上验证订单,以确保用户签署的内容将按预期运行,但同样的合约仍然可以被其他人使用,如果人们签署这样更复杂的订单,攻击者就可以拿走得到正式认可的所有东西。
这次攻击恰逢新智能合约Wyvern2.3的发布,OpenSea当时要求用户迁移他们的列表,不少猜测表示或许与此有关。不过OpenSea的攻击来源依旧没有得到确切的消息,这些猜测也只是猜测,关于后续的故事,仍需继续等待OpenSea的调查结果。
有趣的是,此次事件中攻击者的交易操作着实让很多人摸不着头脑。
比如为什么网络钓鱼者在拿走他的一些资产后选择归还部分资产?
再比如,为什么归还部分资产之后向naterivers.eth发送了50个以太坊?
......
是良心发现还是耀武扬威?恐怕这些谜之操作,也只有攻击者自己知道。
最后,为了防止NFT和以太币的丢失,最好通过Etherscan的代币批准功能撤销访问权限,最好将资产转移到硬件钱包中。
Etherscan的代币批准功能链接如下:
https://etherscan.io/tokenapprovalchecker
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。