大部分攻击发生在美东时间5点到8点之间,总共有32个用户受到攻击。据经营博客Web3isGoingGreat的Molly White估计,被盗代币的价值超过了170万美元。
这次攻击似乎利用了Wyvern协议的灵活性。Wyvern协议是大多数NFT智能合约的开源标准,包括OpenSea上的合约。攻击的过程可能分为两个步骤:首先,目标签署了一个部分合同,其中包含一般授权,并留下了大量空白。然后,攻击者通过调用自己的合同完成了合同,从而在未付款的情况下转移了NFT的所有权。实际上,攻击目标相当于签署了一张空白支票,一旦签署,攻击者就会填写支票的其余部分,以获取他们所持有的NFT。
一位名叫Neso的用户表示:“我检查了每一笔交易,它们都有失去NFT的人的有效签名,所以任何声称自己没有被钓鱼但失去了NFT的人都是错误的。”
OpenSea是一个估值为130亿美元的公司,它已成为NFT热潮中最有价值的公司之一。该公司为用户提供了一个简单的界面,可以列出、浏览和竞标代币,而无需直接与区块链进行互动。但是,这种成功也伴随着重大的安全问题,因为该公司一直在与利用旧合约或中毒代币的攻击作斗争,以窃取用户的宝贵资产。
在攻击发生时,OpenSea正在更新其合约系统,但他们否认攻击源于新合约。由于攻击的目标数量相对较少,这样的漏洞不太可能出现,因为更广泛的平台中的任何缺陷都可能被利用。
然而,这次攻击的许多细节仍然不清楚,特别是攻击者用来让目标签署半空合同的方法。OpenSea首席执行官Devin Finzer在美东时间凌晨3点之前在Twitter上写道,这些攻击并非来自OpenSea的网站、其各种列表系统或该公司的任何电子邮件。攻击的速度之快,表明存在某种共同的攻击媒介,但目前尚未发现任何联系。
Finzer在Twitter上表示:“当我们了解到更多关于网络钓鱼攻击的确切性质时,我们将向您提供最新信息。如果您有任何可能有用的具体信息,请私信联系@opensea_support。”
(本文为原创文章,如需转载,请注明来源:OpeaSea被钓鱼攻击被盗170万美元NFT http://news.zol.com.cn/787/7870648.html)
本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/6725.html
微信扫一扫 
支付宝扫一扫 
发表回复
评论列表(0条)