BTC0.020
ETH0.020
HTX0.020
SOL0.020
BNB0.020
BTC0.020
ETH0.020
HTX0.020
SOL0.020
BNB0.020
Openseaへのフィッシング攻撃が初期のNFTプレーヤーを怖がらせる
Azuma
@azuma_eth
2022-02-20 02:27
本文约1342字,阅读全文需要约5分钟
契約に抜け穴がないことを確認しておりますが、安全上の理由から、不審なメールをクリックしたユーザーは、OpenSea に対するすべての権限を一時的に取り消すことをお勧めします。

今朝、OpenSea のバグ疑惑が多くの注目を集め、激しい議論が巻き起こりました。

インシデントの原因は、多くのユーザーが今朝、OpenSea が昨日開始した新しい移行契約 (アドレス: 0xa2c0946aD444DCCf990394C5cBe019a858A945bD) にはバグがある疑いがあり、攻撃者 (アドレス: 0x3e0defb880cd8e163bad68abe66437f99a) が存在することを警告するツイートをしたことです。 7a8a74) は、このバグを使用して大量のNFTを盗み、裁定取引のために販売します。

攻撃者のウォレットのスクリーンショットから判断すると、現在盗まれたNFTは、BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfersなどのさまざまな高額シリーズをカバーしています。それらの一部は最低価格で販売されています盗んだアドレスを返します (ハッカーは盗んだユーザーの一部に ETH も送金しました)。

いわゆる移行契約は、昨日 OpenSea によってリリースされた新しいアップグレードからのものです。昨日, OpenSea はスマート コントラクトのアップグレードが完了し、新しいスマート コントラクトが開始されたことを発表しました。ユーザーはスマート コントラクトを移行するには保留中のオーダーの移行リクエストに署名する必要があります。このリクエストの署名にはガス料金は必要ありません。 NFTを再承認するかウォレットを初期化する必要があります。移行中、古いスマート コントラクトの見積もりは無効になります。英語オークションは、契約のアップグレードが完了した後、数時間は一時的に無効になります。新しい契約が有効になった後、新しい時限オークションを再度作成できます。既存のスマートコントラクトに対するオランダのオークションは、移行期間の終了となる北京時間2月26日午前3時に終了する。

事件後、OpenSeaは公式Twitterで「OpenSeaスマートコントラクトに関連する噂を積極的に調査している。これはOpenSea Webサイトの外部からのフィッシング攻撃のようだ。ク​​リックしないでください」と返答した。http://opensea.io以外のリンク。 」

Alchemix、Sushiswap の寄稿者、Twitter ユーザー @0xfoobar も、事件後、この問題に関する個人的な調査結果を Twitter に投稿しました。 @0xfoobar 氏によると、ハッカーは 30 日前にデプロイされた補助プログラム コントラクトを使用して、4 年前にデプロイされた OpenSea コントラクトを呼び出したとのことです。補助コントラクトには有効な atomicmatch() データも含まれており、数週間前に開始された可能性があります。攻撃、ハッカーは急いでいますすべての保留中の注文が期限切れになる前に攻撃します。

@0xfoobar はさらに、この件と OpenSea の新しい移行契約との唯一の関係は、過去のすべての保留中の注文が OpenSea スマート コントラクトのアップグレード後 6 日以内に期限切れになることであると分析しました。これには、フィッシング保留中の注文によって違反されたアドレスからのすべての注文も含まれます、そのため、ハッカーはすぐに行動する必要がありました。言い換えれば、これはフィッシング攻撃であり、一般的なスマート コントラクトの脆弱性ではなく、OpenSea のコントラクトには何の問題もありません。

gmDAO の創設者 Cyphr.ETH は、ハッカーが標準的なフィッシングメールを使用して数日前に送信された本物の OpenSea メールをコピーし、一部のユーザーに WyvernExchange Sign のアクセス許可を使用させたとツイートしました。 OpenSea に脆弱性があるのではなく、人々が通常のように署名を読み取る権限を持っていないだけです。

これまでのところ、このセキュリティ インシデントの原因は基本的に明らかになっています。影響を受けるグループは、上記の電子メールをクリックして許可に署名したユーザーです。安全上の理由から、これらのユーザーに対して OpenSea のすべての許可を一時的に取り消すことが推奨されます。」利用可能な契約承認署名ツールには次のものがあります。https://revoke.cash/またはhttps://zapper.fi/revokeまたはhttps://etherscan.io/tokenapprovalcheckerまたはhttps://approved.zone/またはhttps://tac.dappstar.io/#/、現在のトラフィックが多いため、一部の Web サイトを開けない可能性があります。さらに試してみることができます。

NFT
OpenSea
安全性
Azuma
@azuma_eth
作者文库
推荐文章
1800%の急騰から1日で半減まで:機関投資家の売りがMYXの「バリュークローズドループ」の堀を破壊
1時間前
1800%の急騰から1日で半減まで:機関投資家の売りがMYXの「バリュークローズドループ」の堀を破壊
PUMP はトレンドに逆らい、ミーム ランチャーが 2 週間近くにわたって戦いを繰り広げました。
17分前
PUMP はトレンドに逆らい、ミーム ランチャーが 2 週間近くにわたって戦いを繰り広げました。
Binance から Nasdaq、そして宇宙まで: TRON ECO は 7 月にどのようにしてエコロジーの新たな次元を定義したのでしょうか?
2時間前
Binance から Nasdaq、そして宇宙まで: TRON ECO は 7 月にどのようにしてエコロジーの新たな次元を定義したのでしょうか?
オンチェーン中央銀行からトラフィック分散まで、Metaのステーブルコインに対する永続的な野望
2時間前
オンチェーン中央銀行からトラフィック分散まで、Metaのステーブルコインに対する永続的な野望
ビットワイズ最高投資責任者:SECの「プロジェクト・クリプト」から私が見る3つの大きなチャンス
2時間前
ビットワイズ最高投資責任者:SECの「プロジェクト・クリプト」から私が見る3つの大きなチャンス
BOBはChainlinkのスケールイニシアチブへの参加を発表し、BTCFiのChainlinkデータ標準の採用を推進します。
15時間前
BOBはChainlinkのスケールイニシアチブへの参加を発表し、BTCFiのChainlinkデータ標準の採用を推進します。