針對Opensea的釣魚攻擊，嚇壞了早起的NFT玩家_OPEN

今晨，關于OpenSea疑似出現bug一事引發了大量關注與熱議。

事件起因為，多位用戶今晨于推特發布警告稱，OpenSea昨日推出的新遷移合約疑似出現bug，攻擊者正利用該bug竊取大量NFT并賣出套利。

BlockSec推出針對私有分叉鏈的協作測試工具包:金色財經報道，區塊鏈安全技術公司 BlockSec 宣布推出了一個新的工具包，可以對“從任意（交易）位置分叉”的私有鏈和以太坊主網上的區塊編號進行協作測試。以開發人員和安全研究人員為中心的工具包被稱為“Phalcon Fork”，Phalcon Fork 旨在更好地控制在測試網上進行的工作，例如交易測試、分析和調試。[2023/4/15 14:05:46]

從攻擊者錢包的截圖來看，當前失竊NFT涵蓋BAYC、BAKC、MAYC、Azuki、CoolCats、Doodles、Mfers等多種高價值系列，其中部分已以地板價賣出，但也有一部分已原路轉回失竊地址。所謂遷移合約，來自于OpenSea昨日發布的一項新升級。昨日，OpenSea宣布其智能合約升級已完成，新的智能合約已經上線，用戶遷移智能合約需簽署掛單遷移請求，簽署此請求不需要Gas費，無需重新進行NFT審批或初始化錢包。在遷移期間，舊智能合約上的報價將失效。英式拍賣將于合約升級完成后暫時禁用幾個小時，新合約生效后，可以再次創建新的定時拍賣。現有智能合約的荷蘭式拍賣將于北京時間2月26日3時在遷移期結束時到期。事件發生后，OpenSea于官方推特回應稱：“我們正在積極調查與OpenSea智能合同有關的傳聞。這看起來像是來自OpenSea網站外部的網絡釣魚攻擊。不要點擊http://opensea.io之外的任何鏈接。”Alchemix、Sushiswap貢獻者，推特用戶@0xfoobar在事件發生后也于推特發布了關于此事的個人調查。@0xfoobar稱，黑客系使用30天前部署的輔助程序合約來調用4年前部署的OpenSea合約，該輔助合約同樣具有有效的atomicmatch()數據，這可能是起于幾個星期前的一場釣魚攻擊，黑客正趕著在所有掛單過期之前進行攻擊。

韓國檢察官：如果看到更多證據，將擴大針對當地交易所“賄賂上幣”的調查:4月3日消息，首爾南部地區檢察官辦公室的一位發言人表示：“如果我們看到更多證據，我們將（擴大）調查到其他交易所。”韓國目前還沒有關于代幣上線的法律指導，允許交易所按照自己的一套規則處理上幣流程。

此前消息，繼韓國加密交易所Coinone之后，加密交易所Bithumb員工也因涉嫌收取上幣費而正在接受檢察機關的調查。報道稱，Coinone的一名前雇員Jeon某在2月份因涉嫌收取上幣費，收受數億韓元，受到首爾南區檢察院的調查。（Forkast）[2023/4/3 13:42:16]

羅氏弗里德曼律所：11項集體訴訟分別針對交易所和代幣發行者:針對加密行業提出11項新的集體訴訟的羅氏弗里德曼律師事務所（Roche Cyrulnik Freedman）在接受采訪時表示，這些集體訴訟分為兩類。一方面，有四起針對交易所的集體訴訟，另外七起針對代幣發行者。紐交所和這家發行人都聲稱，11名被告在美國證券市場上犯下了歷史性的違規行為。隨著時間的推移，這變得越來越清晰。當時缺乏監管指導和“實用代幣”的概念，隨著時間的流逝，我們已經看到這些代幣是有價證券。此外，該事務所還表示，如果加密機構想從美國市場受益，則必須遵循監管規則。（NewsBTC）[2020/4/9]

@0xfoobar進一步分析稱，此事與OpenSea新遷移合約唯一的關系是，由于OpenSea智能合約升級后所有的歷史掛單都將在6天內到期，這其中也包含了所有來自已被釣魚攻破的地址的掛單，所以黑客不得不立即采取行動。換句話說，這是一場釣魚攻擊，而非一場通用智能合約漏洞，OpenSea的合約并沒有出現問題。

動態 | Zcash開發公司發布針對安卓和iOS的軟件開發工具包，以支持屏蔽支付:金色財經報道，Zcash開發公司ECC已經發布了經過改進的針對安卓的軟件開發套件（SDK）及iOS的軟件開發工具包，以幫助開發者支持移動設備上的屏蔽支付。新的軟件工具還附帶了一個服務器，用于移動屏蔽支付的后端處理，這意味著地址、交易金額和交易中的備忘錄都是模糊的。[2020/1/16]

@0xfoobar的分析與其他一些大V不謀而合，gmDAO創始人Cyphr.ETH發推稱，黑客使用了標準網絡釣魚電子郵件復制了幾天前發出的正版OpenSea電子郵件，然后讓一些用戶使用WyvernExchange簽署權限。OpenSea未出現漏洞，只是人們沒有像往常一樣閱讀簽名權限。

至此，本次安全事件的原因已基本清晰，受影響群體為曾點擊過上述郵件并簽署了權限的用戶，出于安全起見，建議這些用戶暫時撤銷OpenSea的所有授權。可用的合約授權簽署工具包括https://revoke.cash/或https://zapper.fi/revoke或https://etherscan.io/tokenapprovalchecker或https://approved.zone/或https://tac.dappstar.io/#/，部分網站可能因當前訪問量過大無法打開，可以多試試。

Tags：PENOpenSeaOPENSEAPepeNetworkBOpenSeaOPENAIERC價格SEAH幣

以太坊交易所