上周六，攻擊者從OpenSea用戶那里偷走了數(shù)百個(gè)NFT，在該網(wǎng)站的廣大用戶群中造成了深夜的恐慌。區(qū)塊鏈安全服務(wù)PeckShield編制的電子表格顯示，在攻擊過(guò)程中，有254個(gè)代幣被盜，其中包括來(lái)自Decentraland和Bored Ape Yacht Club的代幣。

大部分的攻擊發(fā)生在美東時(shí)間5點(diǎn)到8點(diǎn)之間，總共針對(duì)32個(gè)用戶。經(jīng)營(yíng)博客Web3 is Going Great的Molly White估計(jì)，被盜代幣的價(jià)值超過(guò)170萬(wàn)美元。

"他們都有有效的簽名"

這次攻擊似乎利用了Wyvern協(xié)議的靈活性，Wyvern協(xié)議是大多數(shù)NFT智能合約的開(kāi)源標(biāo)準(zhǔn)，包括OpenSea上的合約。一種解釋?zhuān)ㄓ墒紫瘓?zhí)行官Devin Finzer在Twitter上鏈接）將攻擊分為兩部分：首先，目標(biāo)簽署了一個(gè)部分合同，其中有一個(gè)一般的授權(quán)和大部分留空。隨著簽名的到位，攻擊者通過(guò)調(diào)用他們自己的合同來(lái)完成合同，在不付款的情況下轉(zhuǎn)移NFT的所有權(quán)。實(shí)質(zhì)上，攻擊的目標(biāo)已經(jīng)簽署了一張空白支票--一旦簽署，攻擊者就會(huì)填寫(xiě)支票的其余部分，以獲得他們的持股。

"我檢查了每一筆交易，"這位名叫Neso的用戶說(shuō)。"他們都有失去NFTs的人的有效簽名，所以任何聲稱(chēng)他們沒(méi)有被釣魚(yú)但失去NFTs的人都是可悲的錯(cuò)誤。"

在最近的一輪融資中，OpenSea的估值為130億美元，它已經(jīng)成為NFT熱潮中最有價(jià)值的公司之一，為用戶提供了一個(gè)簡(jiǎn)單的界面，可以列出、瀏覽和競(jìng)標(biāo)代幣，而無(wú)需直接與區(qū)塊鏈互動(dòng)。這種成功伴隨著重大的安全問(wèn)題，因?yàn)樵摴疽恢痹谂c利用舊合約或中毒代幣的攻擊作斗爭(zhēng)，以竊取用戶的寶貴資產(chǎn)。

攻擊發(fā)生時(shí)，OpenSea正在更新其合約系統(tǒng)，但OpenSea否認(rèn)攻擊源于新合約。由于目標(biāo)數(shù)量相對(duì)較少，這樣的漏洞不太可能出現(xiàn)，因?yàn)楦鼜V泛的平臺(tái)中的任何缺陷都可能在更大范圍內(nèi)被利用。

但是，這次攻擊的許多細(xì)節(jié)仍然不清楚--特別是攻擊者用來(lái)讓目標(biāo)簽署半空合同的方法。OpenSea首席執(zhí)行官Devin Finzer在美東時(shí)間凌晨3點(diǎn)前在Twitter上寫(xiě)道，這些攻擊并非來(lái)自O(shè)penSea的網(wǎng)站、其各種列表系統(tǒng)或該公司的任何電子郵件。攻擊的速度之快--在幾個(gè)小時(shí)內(nèi)有數(shù)百筆交易--表明有一些共同的攻擊媒介，但到目前為止還沒(méi)有發(fā)現(xiàn)任何聯(lián)系。

"Finzer在Twitter上說(shuō)："當(dāng)我們了解到更多關(guān)于網(wǎng)絡(luò)釣魚(yú)攻擊的確切性質(zhì)時(shí)，我們將向您提供最新信息。"如果你有可能有用的具體信息，請(qǐng)DM @opensea_support"。

關(guān)鍵詞：