簽名就被盜NFT！opensea協議被攻擊！小心小心！_NFT:atc幣是什么幣ETH錢包地址

NFT被盜的各個手法大家應該經過這么久的市場教育已經比較熟悉了，主要是通過誘導你點擊某個按鈕觸發approve事件將你的NFT授權給別人，從而對方可以轉移走，這種手法其實已經識別度很高了，畢竟它需要把小狐貍彈出來后，讓你交一筆gas費完成approve操作，一到了交錢的時候畢竟大家也會意識到有問題了，但是我今天要講的這個手法真的讓我后背發涼，如果我的朋友沒有遇到我真的不會意識到，如果我遇到了我也一定會中招！所以大半夜的在凌晨3點我需要將它寫下來分享給大家，請轉發預警周圍的朋友們！

今天晚上我的一位朋友說他登錄了一個假冒網站，然后僅僅進行了簽名，所有授權給opensea即曾經掛過單的NFT均被轉走了！這個假冒網站是冒充最近因空投大熱的Blur，所以每當出現這種行業熱度很高的事情時就一定會冒出來幾個渾水摸魚撈一把的黑客們。

Circle發布跨鏈傳輸協議開發文檔：USDC的跨鏈銷毀和鑄造必須獲得簽名證明:金色財經報道，美元穩定幣 USDC 發行方 Circle 發布跨鏈傳輸協議開發文檔，用戶跨鏈發起 USDC 轉移需要在目標鏈上指定接收方錢包地址，并用于在源鏈上銷毀 USDC。

Circle 會進行取證，包括觀察和證明原鏈上的 USDC 銷毀交易，原鏈應用程序需要請求來自 Circle 的簽名證明才能進行銷毀，同時也必須在獲得簽名證明后才能在目標鏈上授權鑄造指定數量的 USDC，完成鑄造后訪客將 USDC 發送至接收者的錢包地址，當前跨鏈傳輸協議主要用例包括交易、借貸、支付、NFT 和游戲等。

此前消息，Circle 將于 2023 年第一季度上線以太坊和 Avalanche 主網，目前已在以太坊的 Goerli 測試網和 Avalanche 的 Fuji 測試網上可用。[2023/1/26 11:30:17]

以太坊2.0中Blst BLS12-381簽名庫存在安全問題，官方已發布修補版本:荷蘭白帽黑客Guido Vranken報告了以太坊2.0中Blst BLS12-381簽名庫存在安全問題，受影響的版本包括Blst v0.3.0至v0.3.2。這些版本對于blst_fp_eucl_inverse函數的某些輸入，可能產生錯誤的輸出，可能會導致從正確的輸入中創建無效的簽名。官方已發布修補版本Blst v0.3.3，建議用戶立即升級。[2021/4/2 19:40:02]

這是它被盜的那筆交易記錄，可見在一筆交易中5個NFT被轉走了。

然后我們看到這個交易的發起方form已經被標記為釣魚地址，下面的交互合約地址旁邊有一個Seaport字樣，還被打了一個綠色的對勾。

動態 | “停止Libra”的在線請愿書已獲得5萬簽名:與非政府組織Finance Watch合作在WeMove.EU上發布的一項旨在禁止“Facebook資金”的請愿書已獲得了50000個簽名，所需簽名總數為75000個。該請愿書呼吁整個歐洲聯盟團結起來，反對Facebook，以停止Libra的推出。這份請愿書包括一封致歐盟委員會候任主席Ursula von der Leyen、歐洲央行行長Maria Draghi和歐洲央行未來行長Christine Lagarde的信。（Beincrypto）[2019/10/5]

那可能是和這個Seaport合約進行了交互才導致被盜的？但是這個合約被打了綠標應該是健康認證過的呀，Seaport是什么呢？

動態 | 暗網絲綢之路創始人Ross Ulbricht的赦免請愿書目前有19.5萬人簽名:暗網絲綢之路創始人Ross Ulbricht的赦免請愿書已有19.5萬人簽名。其中包括萊特幣創始人李啟威，Roger Ver和億萬富翁Tim Draper。目前Ross Ulbricht已在獄中度過六年。（Bitcoinist）[2019/8/22]

Seaport是opensea在今年5月20日推出的一個NFT交易協議，用于取代已經使用了4年之久的Wyvern，它的本質就是一個處理NFT交易的訂單薄智能合約，也就是你所有在opensea進行的NFT交易行為掛單、offer等全部走的這個協議，這是opensea官方的協議，怎么可能會出問題呢？

動態 | BCH開發人員推出Chopsticks API允許向BCH鏈提交原始簽名交易:據Bitcoin消息，針對BCH 11月15日的硬分叉，Eminent.ly開發人員宣布推出名為Chopsticks.cash的應用程序編程接口（API），允許應用程序開發人員和高級用戶避免任何分支中斷，允許人們將他們的原始簽名交易提交給所有11月15日之后的比特幣現金鏈。此前消息，針對BCH 11月15日的硬分叉，比特幣ABC開發團隊和以nChain、Coingeek為首的團隊分別提出了不同的分叉方案。[2018/9/29]

然后我打開了被盜NFT的交易，發現其被執行了MatchOrders操作從而被轉移給了另一個地址，MatchOrders即Seaport中匹配到了訂單，看著像是你情我愿呀這不是Match到了嗎？

為了幫我的朋友破案，我壯著膽子試，打開了這個釣魚網站并連接錢包，然后出現了一個簽名，看著挺正常的人畜無害，但里面肯定有鬼我不敢點，先放在一邊。

因為Seaport是opensea的NFT交易協議，然后我朋友說他所有掛單的NFT均被盜了，并且剛才看到是執行了協議內的MatchOrder即匹配到了買家完成成交，掛單的邏輯就是我將某個NFT背后的collection執行approve方法授權給opensea，讓opensea有權限轉移我的NFT即托管，這個過程是要交gas費的，然后我再將某個NFT掛單時則是進入到opensea鏈下的訂單薄中即Seaport中，當有人對該訂單進行交易時opensea再進行鏈上資產轉移操作，那我來到opensea試著掛一個看看Seaport到底在搞什么鬼。

當我點擊listing后，臥槽出來的簽名居然和我剛才在釣魚網站遇到的一模一樣！這說明什么，大膽推演，釣魚網站執行了Seaport讓我在不知情的情況下在opensea進行了交易！

我們來看一點釣魚網站彈出的簽名中到底都有什么內容。

首先有一個itemType，它指的是本次交易的目標資產類型，1、2、3分別表示ERC20、721和1155，所以它是要盯著我的NFT啊。

然后offerer字段里面是我的地址，Seaport中若itemType為NFT類型即ERC721/1155，則offerer是賣方要把自己的NFT賣出去，若為ETH/ERC20這種“錢”的則offerer是買方來花錢買NFT的，所以這里填寫的是我的地址，太歹了這個簽名里面居然要把我的NFT轉出去！

然后我們再往下看，token字段里面有一串地址。

我把它復制粘貼到opensea打開后，歹，歹啊！居然要偷走我的熊市之光debox小企鵝！

而正如之前分析的一樣，debox也恰好就是我曾經在opensea掛單過的NFT！

再往下看，recipient字段中是一個我很陌生的地址。

我將該地址復制后在我朋友被盜的那個交易中進行檢索后，果然出現在了里面命中了！

所以是該假冒網站調用了Seaport協議讓我對opensea進行了操作從而轉移走了我的NFT，具體的機理還需要深入研究，但是Seaport作為opensea官方協議居然出現了這種問題，一定是需要負有責任的，至少應該要做到鑒權，用隨機數驗證交易來源也可以一定程度避免該問題。我不知道中招的人有多少，但是請大家一定銘記如果你在簽名時遇到了如上我截圖的Seaport字樣，以及簽名內容中包括了offerer等，請一定要謹慎！我們BuidlerDAO孵化的防釣魚安全插件www.metashield.cc也會盡快想辦法將該風險識別更新上去！請轉發讓更多人預警，也強烈要求opensea出具該問題的解決方案。

轉自Jasonchen

Tags：NFTatcETHNFT價格NFT幣atc幣是什么幣ETH錢包地址ETH挖礦app下載Etherael指什么寓意

以太坊交易