釣魚攻擊威脅NFT資產安全_NFT:SEAL

全球最大的NFT交易平臺OpenSea快速修復了一個威脅用戶NFT資產安全的漏洞。此前，有用戶在社交媒體推特上稱，他們經該OpenSea獲得免費空投的NFT后，加密錢包里的資產被盜走。

區塊鏈安全公司Check Point Research正是從受害者那獲得了漏洞線索，研究人員調查發現，OpenSea上存在安全漏洞，黑客可能利用漏洞發送惡意NFT以劫持用戶的OpenSea賬戶并竊取他們的加密錢包。

該安全公司向OpenSea報告了漏洞，雙方在9月底就聯手修復了這一漏洞，安全事件隔了20多天才得以對外公布，OpenSea專門開辟了一個博客向用戶普及去中心化網絡安全常識。

從漏洞及攻擊方式看，這是一起典型的「釣魚攻擊」，這種攻擊在互聯網世界并不陌生，但經過多年的安全實踐，互聯網已經對此構建起一定的防御手段，用戶也有了防御意識。但在新興的去中心化網絡區塊鏈上，「釣魚」這種古老的攻擊的方式仍在橫行，并蔓延到了NFT資產領域，它利用的恰恰是用戶對區塊鏈基礎設施的陌生感。

FTX索賠用戶成為網絡釣魚攻擊的潛在目標:金色財經報道，加密貨幣交易所FTX多名用戶在收到交易所官方客戶支持電子郵件發送的“重置密碼”請求后，成為潛在網絡釣魚攻擊的目標。該電子郵件已經過安全公司的查證，由support@ftx.com發送，這是該交易所倒閉前的官方電子郵件地址。密碼重置鏈接路由至FTX索賠門戶，該門戶允許用戶針對其在平臺停業前持有的資產提交破產索賠。如果黑客獲得了用戶的個人電子郵件地址的訪問權限，他們就可以訪問索賠人的帳戶并將資金轉移到他們的個人錢包中。[2023/7/20 11:07:35]

用戶在OpenSea接收NFT空投后錢包被盜

網友在推特上傾訴的加密資產被盜事件引起了區塊鏈安全公司Check Point Research（以下簡稱CPR）的注意。這些加密資產被盜事件有個共同的引子——用戶接收了免費的NFT空投后，錢包被洗劫。

NFT Trader：網站前端因遭遇惡意攻擊現已關閉，請用戶謹防釣魚攻擊:7月3日消息，P2P數字資產交易協議NFT Trader發推稱，其網站已被攻擊，請用戶監控賬戶，謹防網絡釣魚攻擊，NFT Trader網站將被關閉。目前，團隊仍然調查，該平臺已下線，以避免任何其他問題。

NFT Trader表示，這不是協議問題，疑似團隊之外的人在前端插入一個惡意代碼。團隊仍將繼續進行調查。[2023/7/3 22:15:17]

「當我們在網上看到有關被盜加密錢包的傳聞時，我們對 OpenSea 產生了興趣。我們推測， OpenSea 周圍存在一種攻擊方法，因此我們對它進行了徹底調查。」CPR的產品漏洞研究主管 Oded Vanunu 回憶了一個月前的研究經歷。

在與受害用戶取得聯系并詳細詢問后，CPR識別出OpenSea上存在的關鍵漏洞，證明惡意NFT投放者可利用漏洞劫持用戶的OpenSea賬戶并竊取用戶的加密錢包。

RTFKT COO在網絡釣魚攻擊中損失了價值17.3萬美元的NFT:金色財經報道，本周早些時候，RTFKT首席運營官 Nikhil Gopalani 在一次網絡釣魚攻擊中損失了價值超過30萬美元的 NFT。NFT項目負責人在 Twitter 上宣布了這個消息。這次攻擊幾乎影響了他所有的數字資產組合，包括圣杯 NFT 等。由于對 CloneX COO 的網絡釣魚攻擊，Nikhil Gopalani 的錢包在撰寫本文時僅持有一個 NFT。

據悉，這個黑客擁有與他的 Apple ID 相同的電話號碼。此外，黑客已經賣掉了 Nikhil 的所有 CloneX NFT。

進一步調查發現，黑客使用兩個錢包竊取了CloneX COO的所有NFT。這源自原始錢包的 OpenSea 交易數據。考慮到當前的底價，NFT 的總價值超過 173,000 美元。[2023/1/9 11:01:52]

安全團隊：周杰倫疑似被釣魚攻擊:4月1日消息，周杰倫在社交媒體上發文確認，曾由好友贈予的無聊猿 BAYC #3738 NFT 被盜。

慢霧安全團隊經過分析發現，周杰倫疑似被釣魚攻擊，其錢包地址（0x71de2...e97a1）在11:02簽名了授權（approve）交易，將NFT的權限授予了攻擊者錢包（0xe34f0...072da），然后攻擊者在11:07將無聊猿 BAYC #3738 NFT轉移到自己的錢包地址中。與此同時，還有另外2個錢包地址的NFT也被盜以及1個錢包地址的ApeCoin被盜。攻擊者得手后，在LooksRare和OpenSea上將盜取的NFT賣掉，獲得約169.6 ETH。目前資金停留在 0x6E85C...85b15地址上。[2022/4/1 14:31:09]

用戶在查看惡意NFT?時可能會看到的確認選擇

白帽黑客幫助MetaMask網絡釣魚攻擊受害者收回11.7萬美元加密貨幣:一位MetaMask用戶遭遇網絡釣魚攻擊，無意中將其私鑰交給了騙子。一名白帽黑客成功挽救該用戶錢包（持有24萬美元資金）的一半資金。

Reddit用戶“007happyguy”被引導填寫Whitehat熱線表格，并發布其詳細信息。表格的另一端是一些白帽黑客。這是一項臨時服務，如果有空的話，開發者可以選擇回應請求。前ZenGo區塊鏈研究員Alex Manuskin回應了請求。Manuskin做的第一件事是核實該Reddit用戶擁有的錢包，并且確認其沒有試圖獲取其他人的資金。此時他必須通過索要私鑰來訪問錢包。然后他確保騙子不能再從錢包轉移走資金。為了在以太坊進行交易，用戶需要一些ETH來支付交易費用。因此，他確保任何發送至該錢包的ETH都會被自動發送出去。

為了拯救剩余資金，Manuskin使用了Flashbots，這是一種支持開發人員和礦工之間通信的服務。簡而言之，開發人員可以使用Flashbots向礦工發送一個交易“包”，直接包含在一個區塊中，而不是向網絡廣播交易。

之所以有效是有兩個原因。這種情況的主要原因是，如果錢包里沒有任何ETH，任何零交易費用的交易都不會被任何礦工打包。使用Flashbots的情況是，進行了一項復雜的交易，將資金轉移到另一個錢包，并一次性使用其他資金支付給礦工。第二個原因是它更隱蔽。如果任何交易被廣播到公共網絡上，詐騙者就有機會搶先交易。

Manuskin解釋說，編寫定制腳本和執行交易大約需要5-6個小時。時間的長短取決于交易的復雜性以及他以前是否經歷過類似的情況。在騙子開始轉移錢包資金后，Manuskin設法從錢包剩下的12萬美元代幣中挽救了大約11.7萬美元。（The Block）[2021/7/18 0:59:49]

CPR推導出利用漏洞的步驟——黑客創建惡意NFT并將其贈送給目標受害者；受害者查看惡意NFT后，OpenSea的存儲域會觸發彈出窗口(此類彈窗在該平臺的各種活動中很常見)，請求連接到受害者的加密資產錢包上；受害者如果為了獲得這些「免費的NFT」與之交互，就要點擊「連接錢包」，一旦此操作執行，黑客就獲得了訪問受害者錢包的權限；利用觸發其他彈窗這一方式，黑客就可以不斷竊取用戶錢包中的資產。

由于這些彈窗是從OpenSea的存儲域發出的，因此CPR也就鎖定了該平臺的漏洞源頭。如果用戶沒有注意到描述交易的彈窗中的注釋，他們很可能點擊彈窗，最終導致整個加密錢包被盜。

CPR識別并推導出了漏洞及利用路徑，但OpenSea在后續針對此漏洞的聲明中稱，無法確定任何利用此漏洞的實例。

CPR表示，9月26日，他們向OpenSea披露了調查結果，對方響應迅速并共享了包含來自其存儲域的 iframe 對象的 svg 文件，因此CPR 可以一起審查并確保關閉所有攻擊媒介。在不到1個小時時間里，OpenSea修復了該漏洞并驗證了修復。

OpenSea的聲明顯示，這些攻擊依賴于用戶通過第三方錢包為惡意交易提供簽名來批準惡意活動，修復漏洞后，他們已經與和平臺集成的第三方錢包直接協調，以幫助用戶更好地識別惡意簽名請求，以及幫助用戶阻止詐騙和網絡釣魚的舉措攻擊。「我們還圍繞安全最佳實踐加倍進行社區教育，并啟動了一個關于如何在去中心化網絡上保持安全的博客系列。我們鼓勵新用戶和經驗豐富的老手閱讀該系列。我們的目標是讓社區能夠檢測、減輕和報告區塊鏈生態系統中的攻擊，例如 CPR 所展示的攻擊。」

別將錢包輕易與陌生網址相連

這已經不是第一起發生在NFT資產領域的安全事件，受害者也不僅是普通用戶，但更集中在普通用戶群體中，因為無論是平臺還是項目方的的NFT資產被盜，都會影響到普通用戶的收益。

僅今年3月就發生了兩期知名度較高的NFT資產被盜事件。

先是3月15日，社交NFT代幣平臺Roll的熱錢包被盜，黑客從中盜取了部分WHALE和 SKULL等NFT社交代幣，其中部分資金隨后被轉移到交易混合器Tornado。據分析稱，攻擊者在此過程中凈賺了約570萬美元的ETH。受影響的社交代幣價格大幅下跌。

緊接著的3月17日，NFT交易市場Nifty Gateway的數名用戶遭遇了賬號被盜，有受害者稱，黑客從其帳戶中竊取了價值數千美元的數字藝術品；其他被黑客入侵的用戶稱，他們存檔的信用卡被用來購買額外的NFT。Nifty Gateway后續的聲明中提到，遭遇盜號的賬戶因沒有啟用雙因素認證（采用兩種信息來認證本人身份，一般是采用的密碼和動態口令的組合），而黑客通過有效賬號的認證信息獲得了訪問權限。

在非同質化代幣NFT越來越多的與收藏品、有價值的加密資產相連時，黑客的罪惡之手正在伸向NFT持有者的錢包，這也再次反映了NFT依托的區塊鏈網絡安全性的脆弱。

有經驗的用戶曾總結過NFT的攻擊向量，比如，黑客對你的電腦植入木馬病文件，盜取你的登錄信息和其他資料；或者通過惡意軟件記錄鍵盤輸入，竊取你的密碼；抑或通過惡意軟件來獲取屏幕截圖，從而獲得敏感信息；黑客還可能通過劫持DNS，創建釣魚頁面，騙取用戶錢包的助記詞。

這樣看下來，這些攻擊手段與黑客攻擊互聯網時所用的方式并無多大差異，但在互聯網應用上，用戶已經從自己或別人的經驗中獲得了一些防御意識，比如，不隨便點開陌生鏈接。但在使用區塊鏈網絡和加密錢包時，一些用戶變成了「常識歸零」的狀態，這與用戶對加密資產及區塊鏈基礎的陌生感有關，也再次說明區塊鏈基建在普及層面的不成熟。

普通用戶似乎只能從一起起的安全事故中去學習防范技能，普及安全常識也成為加密社區致力做的工作之一。

NFT創作者和收藏家Justin Ouellette就曾在推特上科普過NFT資產的保護措施，「不要在多個平臺上重復使用相同相同的密碼；要學會啟用雙因素認證；要小心那些最小化元蒙版UI的網站（往往是釣魚網站和木馬軟件）；不要透露你的助記詞給任何人。」

資產被盜還僅僅是NFT安全的一個層面。近期，華中科技大學區塊鏈存儲研究中心和 HashKey Capital Research對NFT的研究報告顯示，NFT 系統是由區塊鏈、存儲和網絡應用集合而成的技術，其安全保障具有一定的挑戰性，每一個組成部分都有可能成為安全的短板，致使整個系統受到攻擊，仿冒（Spooling）、篡改（Tampering）、抵賴（Repudiation）、信息泄露（Information Disclosure）、拒絕服務（Dos）和權限提升（Elevation of privilege）等方面都是NFT系統存在的風險可能。

在安全之路上，NFT要走的道路還很遠。

Tags：NFTSEAPENENSCNFTSEALPENG價格opensea幣單個價格

幣安幣