NFT 資產頻遭釣魚襲擊，NFT 的安全之路仍任重道遠_NFT:OpenSea

全球最大的NFT交易平臺OpenSea快速修復了一個威脅用戶NFT資產安全的漏洞。此前，有用戶在社交媒體推特上稱，他們經該OpenSea獲得免費空投的NFT后，加密錢包里的資產被盜走。區塊鏈安全公司CheckPointResearch正是從受害者那獲得了漏洞線索，研究人員調查發現，OpenSea上存在安全漏洞，黑客可能利用漏洞發送惡意NFT以劫持用戶的OpenSea賬戶并竊取他們的加密錢包。全球最大的NFT交易平臺OpenSea快速修復了一個威脅用戶NFT資產安全的漏洞。此前，有用戶在社交媒體推特上稱，他們在獲得免費空投的NFT后，加密錢包里的資產被盜走了。區塊鏈安全公司CheckPointResearch正是從受害者那獲得了漏洞線索，研究人員調查發現，OpenSea上存在安全漏洞，黑客可能利用漏洞發送惡意NFT以劫持用戶的OpenSea賬戶并竊取他們的加密錢包。該安全公司向OpenSea報告了漏洞，雙方在9月底就聯手修復了這一漏洞，安全事件隔了20多天才得以對外公布，OpenSea專門開辟了一個博客向用戶普及去中心化網絡安全常識。從漏洞及攻擊方式看，這是一起典型的「釣魚攻擊」，這種攻擊在互聯網世界并不陌生，但經過多年的安全實踐，互聯網已經對此構建起一定的防御手段，用戶也有了防御意識。但在新興的去中心化網絡區塊鏈上，「釣魚」這種古老的攻擊的方式仍在橫行，并蔓延到了NFT資產領域，它利用的恰恰是用戶對區塊鏈基礎設施的陌生感。用戶在OpenSea接收NFT空投后錢包被盜

Binance NFT市場集成OpenSea上部分NFT系列:11月16日消息，Binance NFT 市場宣布完成第一階段升級且已集成 OpenSea 上部分熱門 NFT 系列。在 OpenSea 上列出的，排名前 200 的 ERC-721 標準 NFT 已集成至 Binance NFT 市場。Binance 表示未來還將支持更多 NFT 市場和區塊鏈。此外，本次升級內容還包括對 NFT 系列和單個 NFT 的指標和數據可視化升級、優化充值和支付功能等。[2022/11/16 13:13:12]

網友在推特上傾訴的加密資產被盜事件引起了區塊鏈安全公司CheckPointResearch的注意。這些加密資產被盜事件有個共同的引子——用戶接收了免費的NFT空投后，錢包被洗劫。「當我們在網上看到有關被盜加密錢包的傳聞時，我們對OpenSea產生了興趣。我們推測，OpenSea周圍存在一種攻擊方法，因此我們對它進行了徹底調查。」CPR的產品漏洞研究主管OdedVanunu回憶了一個月前的研究經歷。在與受害用戶取得聯系并詳細詢問后，CPR識別出OpenSea上存在的關鍵漏洞，證明惡意NFT投放者可利用漏洞劫持用戶的OpenSea賬戶并竊取用戶的加密錢包。

奢侈品牌Gucci已提交5項NFT和元宇宙相關商標申請:6月22日消息，美國律師Mike Kondoudis發推稱，奢侈品牌Gucci已為其名稱和Logo提交5項商標申請，范圍涵蓋NFT支持的媒體、加密經紀業務、交易所、市場服務、虛擬服裝、車輛、房地產、時裝秀和貨幣。

據此前報道，開云集團（Kering）向加密風投機構Haun Ventures進行投資。據悉，開云集團旗下品牌Gucci在美國5家門店開放使用加密貨幣支付，Balenciaga也宣布將通過BitPay在電商平臺接受加密貨幣。[2022/6/22 1:24:25]

用戶在查看惡意NFT時可能會看到的確認選擇CPR推導出利用漏洞的步驟——黑客創建惡意NFT并將其贈送給目標受害者；受害者查看惡意NFT后，OpenSea的存儲域會觸發彈出窗口(此類彈窗在該平臺的各種活動中很常見)，請求連接到受害者的加密資產錢包上；受害者如果為了獲得這些「免費的NFT」與之交互，就要點擊「連接錢包」，一旦此操作執行，黑客就獲得了訪問受害者錢包的權限；利用觸發其他彈窗這一方式，黑客就可以不斷竊取用戶錢包中的資產。由于這些彈窗是從OpenSea的存儲域發出的，因此CPR也就鎖定了該平臺的漏洞源頭。如果用戶沒有注意到描述交易的彈窗中的注釋，他們很可能點擊彈窗，最終導致整個加密錢包被盜。CPR識別并推導出了漏洞及利用路徑，但OpenSea在后續針對此漏洞的聲明中稱，無法確定任何利用此漏洞的實例。CPR表示，9月26日，他們向OpenSea披露了調查結果，對方響應迅速并共享了包含來自其存儲域的iframe對象的svg文件，因此CPR可以一起審查并確保關閉所有攻擊媒介。在不到1個小時時間里，OpenSea修復了該漏洞并驗證了修復。OpenSea的聲明顯示，這些攻擊依賴于用戶通過第三方錢包為惡意交易提供簽名來批準惡意活動，修復漏洞后，他們已經與和平臺集成的第三方錢包直接協調，以幫助用戶更好地識別惡意簽名請求，以及幫助用戶阻止詐騙和網絡釣魚的舉措攻擊。「我們還圍繞安全最佳實踐加倍進行社區教育，并啟動了一個關于如何在去中心化網絡上保持安全的博客系列。我們鼓勵新用戶和經驗豐富的老手閱讀該系列。我們的目標是讓社區能夠檢測、減輕和報告區塊鏈生態系統中的攻擊，例如CPR所展示的攻擊。」別將錢包輕易與陌生網址相連

Yuga Labs向所有因網絡狀況而導致Otherdeed NFT交易失敗的用戶退還Gas費:金色財經報道，Yuga Labs宣布已向所有因鑄造 Otherdeed NFT造成的網絡狀況而導致交易失敗的用戶退還 Gas 費，費用被發送回用于初始交易的錢包。根據Etherscan的數據， Yuga Labs 在大約 640 筆退款中總共花費了 90.57 ETH（約合 265,000 美元）。最大的個人退款是 2.6 ETH（約 7,500 美元），該公司花費了 0.26 ETH（約 783 美元）的Gas 費來發送所有退款。

此前報道，無聊猿元宇宙土地 Otherdeed 的發售導致以太坊 Gas 費一度飆到8000 gwei以上，NFT 玩家為此共支付超過 1 億美元的以太坊交易費用。[2022/5/5 2:50:41]

這已經不是第一起發生在NFT資產領域的安全事件，受害者也不僅是普通用戶，但更集中在普通用戶群體中，因為無論是平臺還是項目方的的NFT資產被盜，都會影響到普通用戶的收益。僅今年3月就發生了兩期知名度較高的NFT資產被盜事件。先是3月15日，社交NFT代幣平臺Roll的熱錢包被盜，黑客從中盜取了部分WHALE和SKULL等NFT社交代幣，其中部分資金隨后被轉移到交易混合器Tornado。據分析稱，攻擊者在此過程中凈賺了約570萬美元的ETH。受影響的社交代幣價格大幅下跌。緊接著的3月17日，NFT交易市場NiftyGateway的數名用戶遭遇了賬號被盜，有受害者稱，黑客從其帳戶中竊取了價值數千美元的數字藝術品；其他被黑客入侵的用戶稱，他們存檔的信用卡被用來購買額外的NFT。NiftyGateway后續的聲明中提到，遭遇盜號的賬戶因沒有啟用雙因素認證，而黑客通過有效賬號的認證信息獲得了訪問權限。在非同質化代幣NFT越來越多的與收藏品、有價值的加密資產相連時，黑客的罪惡之手正在伸向NFT持有者的錢包，這也再次反映了NFT依托的區塊鏈網絡安全性的脆弱。有經驗的用戶曾總結過NFT的攻擊向量，比如，黑客對你的電腦植入木馬病文件，盜取你的登錄信息和其他資料；或者通過惡意軟件記錄鍵盤輸入，竊取你的密碼；抑或通過惡意軟件來獲取屏幕截圖，從而獲得敏感信息；黑客還可能通過劫持DNS，創建釣魚頁面，騙取用戶錢包的助記詞。這樣看下來，這些攻擊手段與黑客攻擊互聯網時所用的方式并無多大差異，但在互聯網應用上，用戶已經從自己或別人的經驗中獲得了一些防御意識，比如，不隨便點開陌生鏈接。但在使用區塊鏈網絡和加密錢包時，一些用戶變成了「常識歸零」的狀態，這與用戶對加密資產及區塊鏈基礎的陌生感有關，也再次說明區塊鏈基建在普及層面的不成熟。普通用戶似乎只能從一起起的安全事故中去學習防范技能，普及安全常識也成為加密社區致力做的工作之一。NFT創作者和收藏家JustinOuellette就曾在推特上科普過NFT資產的保護措施，「不要在多個平臺上重復使用相同相同的密碼；要學會啟用雙因素認證；要小心那些最小化元蒙版UI的網站；不要透露你的助記詞給任何人。」資產被盜還僅僅是NFT安全的一個層面。近期，華中科技大學區塊鏈存儲研究中心和HashKeyCapitalResearch對NFT的研究報告顯示，NFT系統是由區塊鏈、存儲和網絡應用集合而成的技術，其安全保障具有一定的挑戰性，每一個組成部分都有可能成為安全的短板，致使整個系統受到攻擊，仿冒、篡改、抵賴、信息泄露、拒絕服務和權限提升等方面都是NFT系統存在的風險可能。在安全之路上，NFT要走的道路還很遠。

adidas Originals宣布進軍元宇宙并發行POAP NFT:11月22日消息，阿迪達斯旗下品牌adidas Originals宣布進軍元宇宙并發行POAP NFT，該NFT總量為3176枚。據悉，POAP是英文單詞ProofofAttendanceProtocol（出勤證明協議）的首字母縮寫，是一個以ERC-721為標準，由以太坊開發者社區構建的開源協議，是向虛擬和真實世界活動的參與者發放的獨特NFT徽章。[2021/11/22 22:08:14]

CryptoSpace(加密空間)張佳臻：NFT項目成功需要三要素:7月24日，由Huobi Labs主辦的“新浪潮·新機遇——解密科技文創新財富之NFT實戰班”在成都開課。CryptoSpace(加密空間)董事長兼CEO張佳臻受邀為學員們介紹了國內外優秀的NFT平臺。

張佳臻認為NFT與IP會經歷不同形態的相輔相成，當IP>NFT時，NFT是一種全新的收藏方式、變現方式和交易方式，關鍵是有足夠好的IP和名人效應，當NFT>IP時，需要足夠原生的創意，是通往新世界的新基建，當NFT=IP，是物理世界和虛擬世界的結合，需要足夠多的共識，這時NFT就是技術顯影。[2021/7/24 1:12:53]

Tags：NFTSEAPENOpenSeaNFTC幣StarSharks SEAapenft幣最新消息價格opensea幣價格

火幣下載