OpeaSea遭钓鱼攻击损失170万美元NFT

上周六，有数百个NFT被攻击者从OpenSea用户那里偷走。这一事件在该网站的用户群中引发了深夜的恐慌。据区块链安全服务PeckShield编制的电子表格显示，在攻击过程中，共有254个代币被盗，其中包括来自Decentraland和BoredApeYachtClub的代币。

大部分攻击发生在美东时间5点到8点之间，总共有32个用户受到攻击。据经营博客Web3isGoingGreat的Molly White估计，被盗代币的价值超过了170万美元。

这次攻击似乎利用了Wyvern协议的灵活性。Wyvern协议是大多数NFT智能合约的开源标准，包括OpenSea上的合约。攻击的过程可能分为两个步骤：首先，目标签署了一个部分合同，其中包含一般授权，并留下了大量空白。然后，攻击者通过调用自己的合同完成了合同，从而在未付款的情况下转移了NFT的所有权。实际上，攻击目标相当于签署了一张空白支票，一旦签署，攻击者就会填写支票的其余部分，以获取他们所持有的NFT。

一位名叫Neso的用户表示：“我检查了每一笔交易，它们都有失去NFT的人的有效签名，所以任何声称自己没有被钓鱼但失去了NFT的人都是错误的。”

OpenSea是一个估值为130亿美元的公司，它已成为NFT热潮中最有价值的公司之一。该公司为用户提供了一个简单的界面，可以列出、浏览和竞标代币，而无需直接与区块链进行互动。但是，这种成功也伴随着重大的安全问题，因为该公司一直在与利用旧合约或中毒代币的攻击作斗争，以窃取用户的宝贵资产。

在攻击发生时，OpenSea正在更新其合约系统，但他们否认攻击源于新合约。由于攻击的目标数量相对较少，这样的漏洞不太可能出现，因为更广泛的平台中的任何缺陷都可能被利用。

然而，这次攻击的许多细节仍然不清楚，特别是攻击者用来让目标签署半空合同的方法。OpenSea首席执行官Devin Finzer在美东时间凌晨3点之前在Twitter上写道，这些攻击并非来自OpenSea的网站、其各种列表系统或该公司的任何电子邮件。攻击的速度之快，表明存在某种共同的攻击媒介，但目前尚未发现任何联系。

Finzer在Twitter上表示：“当我们了解到更多关于网络钓鱼攻击的确切性质时，我们将向您提供最新信息。如果您有任何可能有用的具体信息，请私信联系@opensea_support。”

（本文为原创文章，如需转载，请注明来源：OpeaSea被钓鱼攻击被盗170万美元NFT http://news.zol.com.cn/787/7870648.html）

热点：NFT 元nft