近日,全球最大的NFT交易平台OpenSea被曝存在用户资产被盗事件。
事情的起因是,2月19日OpenSea为解决先前在平台上频传的漏洞,宣布升级智能合约(0xa2c0946aD444DCCf990394C5cBe019a858A945bD),并呼吁大家将位于以太坊上的NFT挂单“迁移”到新的Wyvern智能合约,确保原先在链上的非活跃挂单能安全过期。
图片源:OpenSea
可谁知宣布才一天时间,部分OpenSea用户在社群上表示自己的NFT资产被盗了,认为此次OpenSea 的迁移合约存在漏洞,允许非持有者用户窃取其他用户NFT。
且据最新官方消息称,此次被盗波及其NFT市场里的17名用户、250多个NFT被盗。
不过对于迁移合约漏洞一说,The Block分析师Frank Chaparro发表了不同的观点。他声称,OpenSea此次升级合约并没有出现漏洞,整起事件疑似是骇客利用钓鱼邮件所发起的攻击。
他认为,骇客其实是伪造了OpenSea几天前发布的电子邮件格式的钓鱼邮件,让受骗用户通过WyvernExchange签署合约许可,整体上并没有漏洞,只是人们习惯性的忽略了去看签署合约的内容。
图片源:Twitter
而在被盗事件发生后,OpenSea共同创办人兼执行长Devin Finzer也发推表示,这只是一起网络钓鱼事件,虽然发生的源头尚未追踪到,但经过测试以下这些渠道是不具备安全隐患的(内部没问题):
1.OpenSea网站
2.OpenSea的邮件
3.在OpenSea铸造、购买、出售、列出物品
4.OpenSea的列表迁移工具
5.OpenSea网站的banner
不过,虽然NFT数字钱包的持有者可以隐匿身份,但只要是真实发生在区块链上的交易,那都是“无可遁形”的。
据OKLink区块链浏览器追踪交易显示,此次OpenSea事件最终的获利地址(0x3e0defb880cd8e163bad68abe66437f99a7a8a74)在2月20日将1100个ETH,分11次转出到另一地址(0x722122df12d4e14e13ac3b6895a86e84145b6967),转出金额累计超290万美元(约1830万人民币)。
图片源:www.oklink.com
目前,OpenSea仍在排查钓鱼攻击的源头。
但作为目前NFT市场的独角兽,此次安全事件不仅让OpenSea站上了风口浪尖,加上17位受害者资产尚未追回/赔偿,更是给了其竞争对手Mintable可乘之机。
2月23日消息,NFT市场Mintable宣布:将以每个13.35ETH的价格回购此前在OpenSea上被盗的Azuki#1178、#4176和#1180,回购后会将其归还给被盗之前的持有者。
其创始人兼CEO Zach Burks表示,OpenSea上的bug导致了此次被盗事件,如果OpenSea不能纠正它,就会有人挺身而出。
图片源:Twitter
OpenSea事件,在提醒我们面对NFT市场潜藏风险的同时,教会普通人应该如何避免遇到哪些常见的“安全隐患”,应该如何通过不断螺旋提升的业内新技术(链上地址追溯定位)将自己的损失降到最低。