官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
最近一段时间,NFT 大受追捧,名流达人纷纷入局,然而近日发生的一起网络攻击,给数字艺术的热浪泼了一盆冷水。据 Security Affairs 资讯网站披露,全球最大的 NFT 交易所 OpenSea 证实,其数十名用户遭受了网络钓鱼攻击,损失了约价值 170 万美元的 NFT。
随着事件持续发酵,OpenSea 联合创始人兼首席执行官 Devin Finzer 发布推文,证实了此次网络钓鱼攻击,并称调查发现,最终约有 32 名用户受到影响。
网络安全研究人员对区块链记录分析后发现,此次网络攻击过程中,攻击者将大量的 NFT 从不同的用户处,“免费”转移到他们自己的地址上。
被盗的NFT主要来自 Bored Ape Yacht Club、Mutant Ape Yacht Club 等几个比较流行的系列中。数据显示,攻击者已经出售了部分被盗的 NFT,例如来自 Azuki 系列的NFT,价格约为13.4ETH(36380美元)。
区块链安全公司 Peckshield 称,攻击者利用迁移过程作为诱饵发起了此次网络钓鱼活动。另外,OpenSea 网络攻击背后的”黑手“使用 了 TornadoCash 完全去中心化的协议在以太坊上进行私人交易,以清洗 1100 ETH(约 270 万美元) 。
正在调查其他可能存在的漏洞
此次网络攻击发生后,OpenSea 开始积极调查据称与 OpenSea 升级智能合约有关的漏洞,该漏洞可能已被攻击者利用。
此次网络攻击可能与市场宣布新的智能合约升级有关。用户想要升级智能合约,必须将其 NFT 从 ETH 区块链迁移到新的智能合约中。此次升级的最后期限为一周,旨在从平台上移除不活跃的 NFT。
参考文章:
https://securityaffairs.co/wordpress/128207/breaking-news/opensea-nft-marketplace-hacked.html