作者:OpenSeaCTONadavHollander
2月21日,OpenSeaCTONadavHollander发布了关于针对OpenSea用户的钓鱼攻击的技术概要。据悉,这次攻击导致了大约300万美元资产被盗,包括无聊猿,Azuki和CloneX等知名NFT系列。
本帖子分享了针对@OpenSea用户网络钓鱼攻击的技术概要,包括提供一些web3方面的技术教育。
跨链DeFi协议Unifi支持MX/TRX交易及流动性挖矿:据官方消息,跨链DeFi协议Unifi支持 MX/TRX 交易及流动性挖矿。MXC抹茶平台币MX将映射在波场公链上(TRC20),既可以用于流动性挖矿产出代币UP,也可以1:1兑换成MX(ERC20)。11月13日,Unifi资产UNFI上线币安新币挖矿。9月15日,MXC抹茶考核区上线UP(Unifi Protocol),开放USDT交易。据了解,UNFI是Unifi的治理代币,UP是Unifi的协议代币,通过Unifi流动性挖矿产出的UP可以兑换成UNFI。[2020/11/19 21:20:44]
在审查了这次攻击中的恶意订单之后,可以看出以下一些数据点:
火币研究院马天元:DEFI应用的集成产品将是下一个阶段的流量入口:10月22日,火币大学《全球区块链领导者课程(GBLP)》第五/六期金融模块继续开课。火币研究院首席技术研究院马天元以《DeFi解析》的主题为学员们带来分享。
马天元表示,DeFi本身是多项创新分布式应用的集合,包括借贷、DEX、稳定币、衍生资产和预言机,这五个赛道相互紧密联系,缺一不可,在过去半年中取得了极高的热度,其中最重要的两个赛道是DEX和借贷。当区块链应用越来越多,DEFI应用的集成产品将是下一个阶段的流量入口,比如收益聚合器、交易聚合器,而在借贷领域,聚合借贷、汇聚流动性的产品,也是创业者可以思考的方向。[2020/10/22]
所有恶意订单都包含来自受影响用户的有效签名,表明这些用户确实在某个时间点某处签署了这些订单。但是,在签署之后时,这些订单都没有广播到OpenSea。
AOFEX第三期抵押OT参与DeFi流动性挖矿活动100万OT额度已售罄:据官方消息,AOFEX交易所今日正式启动第三期抵押OT参与DeFi流动性挖矿活动,100万OT抵押额度仅30秒即告罄,OT现报价15.5AQ。据悉,该活动抵押周期为10天,平台使用等值于100万OT的USDT参与CRV、SUSHI、YFII等币种流动性挖矿,所得收益将全部按照用户抵押比例进行分配。AOFEX将持续为用户筛选优质流动性挖矿项目并实时监控,用户抵押OT即可参与。
AOFEX是数字货币金融衍生品交易所,旨在为用户提供优质服务和资产安全保障。?[2020/9/20]
没有恶意订单针对新的合约执行,表明所有这些订单都是在OpenSea最新的合约迁移之前签署的,因此不太可能与OpenSea的迁移流程相关。
32名用户的NFT在相对较短的时间内被盗。这是非常不幸的,但这也表明了这是一场有针对性的攻击,而不是OpenSea存在系统性问题。
这些信息,再加上我们与受影响用户的讨论和安全专家的调查,表明由于意识到这些恶意订单即将失效,因此攻击者在2.2合约弃用之前执行了这场网络钓鱼操作。
在这场网络钓鱼之前,我们选择在新合约上实施EIP-712的部分原因是EIP-712的类型化数据功能使不法分子更难在不知情的情况下诱某一位用户签署订单。
例如,如果您要签署一条消息以加入白名单、抽奖或以代币作为门槛的discord群组,您会看到一个引用Wyvern的类型化数据有效负载,如果发生一些不寻常的事情,则会向你发出提醒。
“不要共享助记词或提交未知交易”,这种教育在我们的领域已经变得更加普遍。但是,签署链下消息同样需要同等的思虑。
作为一个社区,我们必须转向使用EIP-712类型数据或其他商定标准)来标准化链下签名。
在这一点上,您会注意到在OpenSea上签署的所有新订单都使用新的EIP-712格式——任何形式的更改都是可以理解的,但这种更改实际上使订单签署更加安全,因为你可以更好地看到你签的是什么。
此外,强烈呼吁@nesotual,@dguido,@quantstamp等开发者和安全公司向社区提供有关这次攻击性质的详细信息。
尽管攻击似乎是从OpenSea外部发起的,但我们正在积极帮助受影响的用户并讨论为他们提供额外帮助的方法。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。