事件始末|駭客得手170萬美金,被OpenSea釣魚信嚇到?官方建議可用來Revoke保護

Elponcho
分享
事件始末|駭客得手170萬美金,被OpenSea釣魚信嚇到?官方建議可用來Revoke保護

釣魚信是最常見的駭客攻擊手法之一,製造惡意連結,放在「假冒」的信件或社群中,誘使用戶點入,導致資料或金錢損失。由於加密貨幣應用的操作都直接與金融行為有關,因此一但誤觸釣魚陷阱,有可能造成大量損失。

市場占比第一的 NFT 市場 OpenSea,由於最近更新協議,要求想要持續掛單賣出 NFT 的用戶,需「遷移上架」(Migrate listings),否則現有的賣單都將在 2/26 失效,需要重新掛單。(詳情與操作步驟請見)

不料此事成為駭客的目標,利用遷移事件,製造假冒的釣魚信件,誘使用戶點入「migration」(遷移) ,讓駭客能盜走你的 NFT。(傳出有釣魚信的推特貼文見此)

OpenSea 官方則表示正在主動調查這起傳言,這項攻擊顯然是由 OpenSea 外部網站發起,請用戶切勿點選 http://opensea.io 之外的網站。

目前在 OpenSea 的網頁中也提示了此事件,要用戶切勿點選站外連結:

據 OpenSea 執行長 Devin Finzer 表示:攻擊者賣出盜來的 NFT,得手約 170 萬美元價值的 ETH 。據資安公司 PeckShield 被盜 NFT 清單請見連結。ERC-721 有 253 筆,ERC-1155 有 60 筆。

OpenSea 執行長的澄清與建議

OpenSea 執行長 Devin Finzer 首先說明情況

  • 這是釣魚攻擊,與 OpenSea 網站無直接關係。(因有網路傳言為 OpenSea 智能合約遭到攻擊)
  • 共有 32 個用戶簽署了惡意合約中的功能,導致部分 NFT 遭竊 ; 有些則是已歸還
  • OpenSea 最近沒有發現有相關的釣魚信,此次的事件也還不知道是由哪個網站給出惡意連結
  • 想了解更多攻擊者的技術細節請見:解釋

擔心 NFT 安全的建議

  • 每次在簽署合約時,都要再次確認是與 https://opensea.io 互動
  • 如果已經受害請聯繫 @opensea_support
  • 如果擔心並且想要保護自己的 NFT,可以「取消許可」(un-approve),停止外界與 NFT 的互動權限。

如何使用 Etherscan 的取消許可?

Ethereum Token Approval 可以幫助你了解一個錢包地址中,與哪些協議做過許可簽署 (approved)。以下圖為例,我們輸入的地址中,所有擁有的資金與 NFT 數量如下,它告訴你共有此錢包與 76 個合約曾簽署許可。 

選擇 NFT 的常見通用標準,ERC-721 或 ERC-1155 列表,可以看見有哪些已許可合約。按下 Connect to Web3 之後,即可與錢包連結,執行 Revoke (撤回),即花費 Gas Fee 將曾許可合約的權限降為 0。