OpenSea 釣魚郵件攻擊事件懶人包;Solidity 開發者:原始碼沒問題,並非合約漏洞

昨(20)早上,社群瘋傳 OpenSea 遷移合約更新出現漏洞,導致部分用戶 NFT 被盜,甚至還傳出損失金額高達 2 億美元,此消息嚇壞了許多 OpenSea 用戶。後來經過 Solidity 開發者 @0xfoobar 個人調查後,發現此事件為網路釣魚郵件攻擊,並非 OpenSea 合約漏洞,並教導大家如何防範。

 

以下是智富區塊整理的釣魚攻擊事件懶人包,供大家做參考。

 

20日早上,推特多則貼文討論

20 日早上,推特上就出現許多關於 OpenSea 釣魚攻擊事件的討論,如下:

2022/02/20 8:31 AM (UTC+8)

緊急:似乎有一個漏洞正在進行中。在我們了解更多信息之前,請取消您的錢包與包括 Opensea 在內的所有網站連結,並且不要遷移您在 Opensea 上的列表。我不是專家,但有些事情正在發生,安全總比道歉好。

 

2022/02/20 8:44 AM (UTC+8)

不要手動遷移您的 OpenSea 列表。有 Bug,有些人的 NFT 被盜了。雖然這不是 100% 確定的,但比抱歉更重要的是安全。

 

2022/02/20 9:17 AM (UTC+8)

BREAKING:新遷移合約中有漏洞,允許用戶出售、竊取任何用戶的任何 NFT。已經損失了超過 2 億美元。

 

2022/02/20 9:21 AM (UTC+8)

駭客使用網路釣魚郵件方法,複製了幾天前 Opensea 官方發送的電子郵件,然後讓一些人簽署  WyvernExchange 權限。合約本身沒有漏洞,只是人們一如往常地沒看合約就簽屬權限。

 

OpenSea 釣魚攻擊事件總覽

NFT 市集龍頭 OpenSea 日前為了解決平台上非活躍列表問題,在 19 日更新了智能合約,要求有要掛單賣出 NFT 的用戶在 2/26 前遷移上架 (Migrate listings) 到新的智能合約中,若超過期限尚未遷移需要重新掛單。就在用戶開始配合遷移上架後,NFT 失竊災情陸續傳出。因此,網友懷疑 OpenSea 更新合約有 Bug。

 

根據 OpenSea 官方與 Solidity 開發者 @0xfoobar 調查,攻擊者是使用釣魚郵件方法來竊取 NFT,並非 OpenSea 遷移合約有漏洞,原始碼本身沒有問題。攻擊者複製了前幾天 OpenSea 官方發送的正版電子郵件,讓用戶沒有懷疑地簽署 WyvernExchange 權限 (簽署合約前一定要看清楚內容 ),最終達成其目的。失竊 NFT 含多種高價知名項目,如: BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等,其中有些 NFT 已經被賣出

 

攻擊者錢包動向

攻擊者錢包地址為:0x3e0defb880cd8e163bad68abe66437f99a7a8a74

現已被標注為駭客 Fake_Phishing5169

(Source:Etherscan)

 

在釣魚攻擊後,Fake_Phishing5169 似乎是靠 Tornado.Cash 進行洗幣(類似於洗錢)。

*補充:Tornado Cash 是一個去中心化的非託管協議,允許在加密空間中進行私人交易。

(Source:Etherscan)

 

另外,Fake_Phishing5169 地址也曾在 OpenSea 的對手 LooksRare 進行交易。

(Source:Etherscan)

 

OpenSea 官方針對此事件的回應

OpenSea 創辦人兼 CEO Devin Finzer 針對此事件的回覆:

Finzer 表示這是一起網路釣魚攻擊,和 OpenSea 網站無關聯。到目前為止,似乎有 32 個用戶簽署了來自攻擊者的惡意合約,並且有部分 NFT 被盜。… Finzer 建議用戶簽署合約時,務必仔細檢查瀏覽器中是不是與 https://opensea.io 網域進行合約簽屬。…最後,Finzer 澄清有關這次損失 2 億美元的傳言。攻擊者的錢包裡有 170 萬美元的 ETH,那是因為他出售了那些盜來的 NFT。

 

OpenSea 官方推特最新貼文:

我們已將受影響的名單範圍縮小到 17 人,而不是之前提到的 32 人。(最初的計算包含與攻擊者有「互動」的任何人,有些不是這起釣魚攻擊的受害者。)

 

 

Solidity 開發者 @0xfoobar :非合約漏洞,原始碼安全

Solidity 開發者 @oxfoobar:

駭客正在使用 30 天前部署的輔助合約來調用 4 年前部署的操作系統合約,其中包含有效的 atomicMatch() 數據。…如果您認為在過去幾個月中可能與惡意網站、任何惡意網站進行了交互,請撤銷 OpenSea 的所有批准 (Etherscan 可以撤銷訪問權限)。然而,這不是一個通用的智能合約漏洞,而是一種潛在的網路釣魚攻擊。原始碼是安全的。

 

延伸閱讀: