Opensea에 대한 피싱 공격으로 초기 NFT 플레이어를 놀라게 함

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

Opensea에 대한 피싱 공격으로 초기 NFT 플레이어를 놀라게 함

Azuma

@azuma_eth

2022-02-20 02:27

本文约1342字，阅读全文需要约5分钟

계약에 허점이 없는 것으로 확인되었으며, 안전상의 이유로 의심스러운 이메일을 클릭한 사용자는 일시적으로 OpenSea에 대한 모든 권한을 취소하는 것이 좋습니다.

오늘 아침, OpenSea의 의심되는 버그가 많은 관심과 열띤 토론을 불러일으켰습니다.

사건의 원인은 오늘 아침 많은 사용자들이 OpenSea가 어제 시작한 새로운 마이그레이션 계약(주소: 0xa2c0946aD444DCCf990394C5cBe019a858A945bD)에 버그가 있는 것으로 의심된다고 경고하는 트윗을 올렸고, 공격자(주소: 0x3e0defb880cd8e163bad68abe66437f99a7a) 8a74)는 이 버그를 사용하여 많은 수의 NFT를 훔쳐 차익 거래를 위해 판매합니다.

공격자의 지갑 스크린샷을 보면 현재 도난당한 NFT는 BAYC, BAKC, MAYC, Azuki, Cool Cats, Doodles, Mfers 등과 같은 다양한 고부가가치 시리즈를 다루고 있습니다. 일부는 바닥 가격으로 판매되었습니다. , 그러나 일부는 역전되었습니다.도난된 주소를 반환합니다(해커는 또한 도용된 일부 사용자에게 일부 ETH를 보냈습니다).

소위 마이그레이션 계약은 어제 OpenSea가 발표한 새로운 업그레이드에서 나온 것입니다. 어제 OpenSea는 스마트 계약 업그레이드가 완료되었고 새로운 스마트 계약이 시작되었다고 발표했습니다.사용자는 스마트 계약을 마이그레이션하려면 대기 중인 주문 마이그레이션 요청에 서명해야 합니다.이 요청에 서명하는 데 가스 요금이 필요하지 않으며 NFT를 다시 승인하거나 지갑을 초기화해야 합니다. 이전하는 동안 이전 스마트 계약에 대한 견적은 무효화됩니다. 영어 경매는 계약 업그레이드 완료 후 몇 시간 동안 일시적으로 비활성화되며, 새 계약이 발효된 후 다시 새로운 시간 경매를 생성할 수 있습니다. 기존 스마트 계약에 대한 네덜란드 경매는 마이그레이션 기간이 끝나는 베이징 시간 2월 26일 3시에 만료됩니다.

사건 이후 오픈씨는 공식 트위터를 통해 "오픈씨 스마트 컨트랙트 관련 루머에 대해 적극적으로 조사 중"이라며 "오픈씨 웹사이트 외부에서 피싱 공격을 한 것으로 보인다. 클릭하지 말 것"이라고 답했다.http://opensea.io이외의 모든 링크. "

Alchemix, Sushiswap 기고자, 트위터 사용자 @0xfoobar도 사건 이후 트위터에 이 문제에 대한 개인적인 조사를 게시했습니다. @0xfoobar는 해커가 30일 전에 배포된 보조 프로그램 계약을 사용하여 4년 전에 배포된 OpenSea 계약을 호출했다고 말했습니다. 보조 계약에는 유효한 atomicmatch() 데이터도 있으며 몇 주 전에 시작되었을 수 있습니다. 공격, 해커가 돌진하고 있습니다. 보류 중인 모든 주문이 만료되기 전에 공격합니다.

@0xfoobar는 이 문제와 OpenSea의 새로운 이전 계약 사이의 유일한 관계는 OpenSea 스마트 계약이 업그레이드된 후 6일 이내에 모든 보류 중인 주문이 만료된다는 것뿐이며 여기에는 피싱으로 위반된 주소의 모든 주문도 포함된다는 점을 추가로 분석했습니다. , 그래서 해커는 즉시 조치를 취해야 했습니다. 즉, 일반적인 스마트 컨트랙트 취약점이 아닌 피싱 공격이며 OpenSea의 컨트랙트에는 아무런 문제가 없습니다.

@0xfoobar의 분석은 다른 빅 V와 일치합니다. gmDAO의 설립자인 Cyphr.ETH는 해커들이 표준 피싱 이메일을 사용하여 며칠 전에 보낸 정품 OpenSea 이메일을 복사한 다음 일부 사용자가 WyvernExchange Sign 권한을 사용하도록 허용했다고 트윗했습니다. OpenSea는 취약하지 않습니다. 사람들이 평소처럼 서명을 읽을 수 있는 권한이 없다는 것입니다.

지금까지 이 보안 사고의 원인은 기본적으로 명확했으며 영향을 받는 그룹은 위의 이메일을 클릭하고 권한에 서명한 사용자입니다.안전상의 이유로 이러한 사용자는 일시적으로 OpenSea의 모든 권한을 취소하는 것이 좋습니다. 사용 가능한 계약 승인 서명 도구에는 다음이 포함됩니다.https://revoke.cash/또는https://zapper.fi/revoke또는https://etherscan.io/tokenapprovalchecker또는https://approved.zone/또는https://tac.dappstar.io/#/, 현재 과도한 트래픽으로 인해 일부 웹사이트가 열리지 않을 수 있습니다. 더 시도할 수 있습니다.