广告位

您现在的位置是:首页>比特币新闻

OpenSea 现钓鱼攻击,用户该如何保护 NFT 资产安全?

比特币新闻 2021-10-18 11:25

摘要:OpenSea是世界上最大的NFT交易平台,它迅速修复了威胁用户 NFT 资产安全的漏洞。在此之前,有用户在社交媒体twitter上说,在得到OpenSea免费空投NFT之后,加密钱包中的资产被盗走了。 块块链安...

image.png

OpenSea是世界上最大的NFT交易平台,它迅速修复了威胁用户NFT资产安全的漏洞。在此之前,有用户在社交媒体twitter上说,在得到OpenSea免费空投NFT之后,加密钱包中的资产被盗走了。

块块链安全公司CheckPointResearch正是从受害人那获取漏洞的线索,研究者调查发现OpenSea上有安全漏洞,黑客可能利用这个漏洞发送恶意NFT来劫持用户的OpenSea账户并盗取加密钱包。

OpenSea是世界上最大的NFT交易平台,它迅速修复了威胁用户NFT资产安全的漏洞。之前,有用户在社交媒体twitter上说,他们收到NFT后,加密钱包中的资产被盗走了。

块块链安全公司CheckPointResearch正是从受害人那获取漏洞的线索,研究者调查发现OpenSea上有安全漏洞,黑客可能利用这个漏洞发送恶意NFT来劫持用户的OpenSea账户并盗取加密钱包。

Oracle向OpenSea报告了这个漏洞,双方于九月底联合修复了这个漏洞,事故发生的时间间隔超过20天,OpenSea专门开设了一个博客,向用户普及去中心化的网络安全知识。

在攻击方式上,这是一种典型的“钓鱼攻击”,这种攻击在网络世界中并不陌生,但是,经过多年的安全实践,因特网已经建立了一些防御措施,用户也有了防御意识。但是,在新兴的去中心化的网络区块链中,一种古老的“钓鱼”攻击仍然肆无忌惮,并且蔓延到了NFT资产领域,正是利用了用户对区块链基础设施的陌生感觉。

当OpenSea收到空投NFT之后,用户的钱包被偷。

有网民对Twitter上泄露的加密资产窃取事件引起了区块链安全公司CheckPointResearch的关注。这两起窃取加密资产的事件都有一个共同点:当用户收到免费空投NFT之后,钱包就会被抢劫。

“随着网络上关于被窃取加密钱包的传言,我们开始对OpenSea感兴趣。我猜测在OpenSea周围有一种攻击方法,所以我们对其进行了深入的研究。”CPR产品漏洞研究负责人OdedVanunu回忆了一个月前的研究情况。

CPR和受伤害的用户联系起来并进行详细的询问之后,发现了OpenSea上的关键漏洞,证明那些恶意NFT的投放者可以利用一个漏洞来劫持用户的OpenSea帐户,然后窃取加密钱包。

恶意NFT时,用户可能会看到一个确认选项。

CPR推出一些步骤来利用这个漏洞,黑客创建一个恶意NFT,然后把它送给目标受害者;当受害人查看一个恶意NFT时,OpenSea的存储域会触发弹出窗口(这种弹窗在该平台的各种活动中非常常见),要求连接受害人的加密钱包;受害人如果想要与这些“免费的NFT”进行交流,点击“钱包”,一旦执行这项操作,黑客就能进入受害者钱包;利用触发其它弹窗的方法,黑客可以不断窃取用户钱包中的资产。

因为这些弹窗来自OpenSea的存储域,所以CPR也锁定了这个平台的漏洞来源。在描述交易的弹窗上,如果用户不注意描述交易的评论,就很有可能点击弹窗,最终导致整个加密钱包被盗。

CPR识别并推导出漏洞和利用路径,但是OpenSea在随后关于该漏洞的声明中表示,不能确定任何利用这个漏洞的实例。

消费者保护组织称,在9月26日,他们向OpenSea透露了调查结果,对方回复迅速,分享了svg文件,其中包含它的存储域的iframe对象,这样CPR就能检查所有的攻击介质,并确保关闭。OpenSea修复了这个漏洞,并在1小时内对其进行了验证。

OpenSea在声明中指出,这些攻击依赖于用户通过第三方钱包签署恶意交易的授权行为,修复漏洞之后,他们会直接与集成了该平台的第三方钱包进行合作,从而更好地识别恶意的签名请求,并帮助用户阻止欺诈和网络钓鱼。”她说:“我们也为安全最佳做法增加一倍,并且推出了一个关于如何在去中心化网络中保护安全的博客系列。新用户和有经验的老手都会被鼓励阅读。其目的是使社区能够发现、缓解并报告在区块链生态系统中的攻击,如CPR所展示的攻击。」

不要把你的钱包轻易和陌生的网站联系起来。

在NFT资产领域已经不是第一次发生了安全事件,而受害者不仅仅是普通用户,更多的是普通用户,因为无论是NFT平台或项目方的盗用NFT资产,都会对普通用户产生影响。

仅仅在三月份,就发生了两起著名的NFT资产失窃事件。

首先,在三月十五日,社交NFT代币平台Roll的热钱包被盗时,黑客从WHALE和SKULL等社交代币中盗取了一部分资金,其中一部分被转移到Tornado交易混合机。根据分析,这名攻击者在这一过程中净赚了570万美元ETH。社交代币受到影响,价格急剧下降。

随后在3月17日,几位NFT交易市场NiftyGateway上的用户遇到了盗取账户的情况,据受害人说,黑客从他的账户里盗取了价值几千美元的数字艺术品;还有一些人说,他们的信用卡是用来另外购买NFT的。随后NiftyGateway在随后的一份声明中提到,遭遇盗号的账户由于没有启用双重认证(使用两种信息来验证自己的身份,通常是使用密码和动态口令的组合),而黑客通过有效帐号的认证信息获得访问权限。

当不断增加的非同质代币NFT与收藏品、有价值的加密资产联系起来时,黑客们的恶手正伸向NFT持有人的钱包,这又一次反映出NFT所依赖的区块链网络安全的脆弱性。

老手用户总结了NFT的攻击途径,例如,黑客将木马病毒文件植入您的电脑,盗取您的登入信息和其他资料;或者通过恶意软件记录键盘输入,窃取您的密码;或是通过恶意软件获取敏感信息;黑客可能通过劫持DNS,创建一个钓鱼页面,骗取用户钱包。

在这种情况下,这些攻击手段和黑客使用的方法并没有什么不同,但是在网络应用中,用户可以从自己或他人的经验中得到一些防御意识,例如,不要随意点开陌生链接。但是当使用区块链网络和加密钱包时,有些用户变成了一种“常识归零”的状态,这与用户对加密资产和区块链基础的陌生感有关,并再次表明了区块链基础在普及层面的不成熟。

看起来普通用户只能共同从安全事故中学到防范技巧,而普及安全常识也成为加密社区致力的工作之一。

NFT的创作者、收藏家JustinOuellette曾经向Twitter展示了NFT资产的保护措施:“不要在多个平台上重复使用相同的密码;要学会启用双重因素认证;小心那些将元蒙版用户界面最小化的网站(通常是钓鱼网站和木马软件);不要把助记词的助记词暴露给任何人。」

财产失窃也只是NFT安全的一个方面。近日,华中科技大学区块链研究中心和HashKeyCapitalResearch关于NFT的研究表明,NFT系统是一种集区块链、存储器和网络应用于一体的技术,其安全保障具有一定的挑战性,其中的每个环节都可能成为漏洞,导致整个系统遭受攻击、仿冒(Spooling)、伪造(Tampering)、抵赖(Tampering)、信息泄露(InformationDisclosure)、拒绝服务(Dos)和权限升级(Elevationofprivilege)等方面都是NFT系统存在的风险。

NFT在安全之路上仍有一段距离。


Tags: NFT 

广告位
  • 欧易(OKEx)
    广告位

站点信息