2月21日,OpenSea CTO Nadav Hollander發布了關於針對OpenSea用戶的釣魚攻擊的技術概要。據悉,這次攻擊導致了大約300萬美元資產被盜,包括無聊猿,Azuki和CloneX等知名NFT系列。
作者:OpenSea CTO Nadav Hollander
本帖子分享了針對@OpenSea 用戶網絡釣魚攻擊的技術概要,包括提供一些 web3方面的技術教育。
在審查了這次攻擊中的惡意訂單之後,可以看出以下一些數據點:
所有惡意訂單都包含來自受影響用戶的有效簽名,表明這些用戶確實在某個時間點某處簽署了這些訂單。 但是,在簽署之後時,這些訂單都沒有廣播到 OpenSea。
沒有惡意訂單針對新的(Wyvern 2.3)合約執行,表明所有這些訂單都是在OpenSea最新的合約遷移之前簽署的,因此不太可能與 OpenSea 的遷移流程相關。
32 名用戶的NFT在相對較短的時間內被盜。 這是非常不幸的,但這也表明了這是一場有針對性的攻擊,而不是OpenSea存在系統性問題。
這些信息,再加上我們與受影響用戶的討論和安全專家的調查,表明由於意識到這些惡意訂單即將失效,因此攻擊者在 2.2 合約棄用之前執行了這場網絡釣魚操作。
在這場網絡釣魚詐騙之前,我們選擇在新合約上實施 EIP-712 的部分原因是 EIP-712 的類型化數據功能使不法分子更難在不知情的情況下誘騙某一位用戶簽署訂單。
例如,如果您要簽署一條消息以加入白名單、抽獎或以代幣作為門檻的discord群組,您會看到一個引用 Wyvern(OpenSea 使用的協議)的類型化數據有效負載,如果發生一些不尋常的事情,則會向你發出提醒。
“不要共享助記詞或提交未知交易”,這種教育在我們的領域已經變得更加普遍。 但是,簽署鏈下消息同樣需要同等的思慮。
作為一個社區,我們必須轉向使用 EIP-712 類型數據或其他商定標準(如 EIP-4361(“使用以太坊登錄”方法))來標準化鏈下籤名。
在這一點上,您會注意到在 OpenSea 上籤署的所有新訂單(包括遷移的訂單)都使用新的 EIP-712 格式——任何形式的更改都是可以理解的,但這種更改實際上使訂單簽署更加安全,因為你可以更好地看到你簽的是什麼。
此外,強烈呼籲 @nesotual, @dguido, @quantstamp等開發者和安全公司向社區提供有關這次攻擊性質的詳細信息。
儘管攻擊似乎是從 OpenSea 外部發起的,但我們正在積極幫助受影響的用戶並討論為他們提供額外幫助的方法。
本文鏈接:https://www.8btc.com/article/6730420
轉載請註明文章出處
