NFT 交易平台巨头 Opensea 才宣布升级智能合约以确保链上非活跃挂单能安全过期,岂料马上就被骇客纳为目标,在短短 9 小时中,骇客盗窃走高达 2 亿美元的 NFT 项目。尽管目前市场流窜著骇客盗窃的手法,不过上述说法都尚未被证实,OpenSea 也呼吁用户应谨慎点击欲前往的网页。
(事件背景:OpenSea 惊传出包!知名 NFT(BAYC、MAYC…) 以低于地板价 1%售出,有人秒赚300ETH)
NFT 交易平台龙头 Opensea 为解决先前在平台上频传的漏洞,昨(19)日才宣布升级智能合约(地址:0xa2c0946aD444DCCf990394C5cBe019a858A945bD),呼吁用户皆须将位于以太坊上的 NFT 挂单“迁移”到新的 Wyvern 智能合约,以确保原先在链上的非活跃挂单能安全过期。
岂料,距离宣布时间仅仅一天的时间,已有不少人在社群上表示,OpenSea 的迁移合约疑似存在漏洞,允许非持有者用户窃取其他用户 NFT;据推特上拥有 42 万人追踪的 KOL Mr. Whale 所述,损失已超过 2 亿美元。
有Bug?Opensea 被骇?
有人正透过 Opensea 的新迁移合约漏洞进行大规模的动作,漏洞允许用户出售与窃走非持有者的任何 NFT,目前至少损失数百万美元了。
https://twitter.com/unusual_whales/status/1495204532753625092
据推特帐号 Wu Blockchain 稍早所述:
市场上疑似出现一名骇客正透过智能合约 0xa2c0946aD444DCCf990394C5cBe019a858A945bD 与 OpenSea 新交换合约 V2 进行互动。
我非常不确定整体是如何运作的或是否有漏洞,但看起来 OpenSea 的新合约已经被骇了。
据 Etherscan,钱包地址为 0x3e0defb880cd8e163bad68abe66437f99a7a8a74 的骇客,从今日凌晨 3 点多开始,便开始透过疑似为 OpenSea 的 bug 窃取大量 NFT 并出售套利,盗取的 NFT 包含 BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等多种高价值 NFT 项目。
The Block分析师:不是被骇,是被钓鱼攻击
正当众人纷纷认为是 OpenSea 的合约漏洞所致时,The Block 分析师 Frank Chaparro 跳出来为 OpenSea 喊冤称,OpenSea 根本没有出现漏洞,整起事件疑似为骇客利用钓鱼邮件所发起的攻击。
Frank Chaparro 还转发 Cyphr.ETH 推文称,骇客其实是伪造了 OpenSea 几天前发布的电子邮件格式的钓鱼邮件,让受骗的用户迁署 WyvernExchange 合约权限:
骇客透过钓鱼电子邮件伪造先前 OpenSea 发布的正版电子邮件,让受骗用户透过 WyvernExchange 签署合约许可,整体并没有漏洞,只是人们一如往常没在看签署合约内容。
不过也有网友表示,别只把错全全怪在骇客身上:
OpenSea 谎称漏洞实际上是来自网路钓鱼电子邮件,这 100% 不是真的,而是他们原始码中出现了缺陷,才导致这历史上最大条的 NFT 漏洞骇客事件。
Solidity 开发者:非智能合约漏洞,原始码是安全的
以太坊智能合约程式语言 Solidity 开发者 Foobar 也对骇客的犯案手法分析道:
骇客使用了一个在 30 天前就部属的辅助合约,透过 atomicMatch() 有效数据来调用 4 年前部属的系统合约。
整体看起来像是几个礼拜前就布局好的钓鱼攻击,并且在合约迁移完成前夕,也就是原先挂单失效前,全数盗走。
并称,此事可能是几个礼拜前就布局好的典型网路钓鱼攻击,智能合约并无漏洞,原始码是安全的。
目前仍无从得知,实际造成此次事件的确切主因为何,对此受害平台 OpenSea 也随后发文表示:
我们目前正积极调查与 OpenSea 相关智能合约的漏洞传闻。
不过这似乎是源自 OpenSea 网站以外的网路钓鱼攻击,请用户不要点击任何 Opensea.io 以外的连结。
骇客钱包动向一览
钱包地址为 0x3E0DeFb880cd8e163baD68ABe66437f99A7A8A74 的骇客,据动区查证,在过去 7 小时内,包括转出与转入就包括 482 笔交易;钱包更是坐拥超过 641 颗 ETH(约为 172.4 万美元),手上握有 17 个 AZUKI、3 个 BAYC、2 个 CloneX、2 个 Cool Cats 等…,值得一提的是,该名骇客已将不少 NFT 转出该钱包。
据吴说区块链推文当时所述:
骇客盗走的 NFT 总共只花了 750 美元的手续费,包括 4 个 Azukis、2 个 Coolmans、2 个 Doodles、2 个 KaijuKings、1 个 MAYC、1 个 Cool Cat、1 个 BAYC。
看起来像是专门与 OpenSea 新合约的直接互动。
