今天我们就来和朋友们聊聊吧。希望以下意见可以帮助您找到您想要的百科全书。
免责声明:本文旨在传达更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。
小编:记得关注哦
文字|茉莉花
全球最大的NFT交易平台OpenSea迅速修复了威胁用户NFT资产安全的漏洞。此前,有用户在社交媒体Twitter上声称,通过OpenSea收到免费NFT空投后,其加密钱包中的资产被盗。
区块链安全公司CheckPointResearch从受害者那里获得了有关该漏洞的线索。研究人员调查发现OpenSea存在安全漏洞。黑客可以利用该漏洞发送恶意NFT来劫持用户的OpenSea账户并窃取他们的加密钱包。
全球最大的NFT交易平台OpenSea迅速修复了威胁用户NFT资产安全的漏洞。此前,有用户在社交媒体推特上声称,在收到免费空投的NFT后,自己的加密钱包中的资产被盗。
区块链安全公司CheckPointResearch从受害者那里获得了有关该漏洞的线索。研究人员调查发现OpenSea存在安全漏洞。黑客可以利用该漏洞发送恶意NFT来劫持用户的OpenSea账户并窃取他们的加密钱包。
该安全公司向OpenSea报告了该漏洞,双方于9月底共同修复了该漏洞。从这起安全事件到向社会公布,历时20多天。OpenSea开设博客,向用户普及去中心化网络安全知识。
从漏洞和攻击方式来看,这是一次典型的“钓鱼攻击”。这种攻击在互联网世界并不陌生。但经过多年的安全实践,互联网已经为此构建了一定的防御手段,用户也养成了防御意识。然而,在新兴的去中心化网络区块链上,“钓鱼”这种古老的攻击方式依然猖獗,并蔓延至NFT资产领域。它利用了用户对区块链基础设施的不熟悉。
OpenSea收到NFT空投后用户钱包被盗
Twitter上网友举报的加密资产被盗事件引起了区块链安全公司CheckPointResearch(以下简称CPR)的关注。这些加密资产盗窃事件都有一个共同的触发点:——名用户收到免费的NFT空投,钱包被洗劫一空。
“当我们在网上看到有关加密钱包被盗的谣言时,我们对OpenSea产生了兴趣。我们推测OpenSea周围存在攻击方法,因此我们对其进行了彻底调查。”CPR产品漏洞研究总监OdedVanunu回忆了一个月前的研究经历。
在联系受害用户并进行详细询问后,CPR发现了OpenSea上的严重漏洞,证明恶意NFT投掷者可以利用这些漏洞劫持用户的OpenSea账户并窃取用户的加密钱包。
用户在查看恶意NFT时可能会看到的确认选项
CPR推导出利用漏洞——的步骤。黑客创建恶意NFT并将其交给目标受害者;受害者查看恶意NFT后,OpenSea的存储域会触发弹窗(此类弹窗在平台的各种活动中非常常见)。Common),请求连接受害者的加密资产钱包;如果受害者与其交互以获得这些“免费NFT”,他或她必须点击“连接钱包”。一旦执行此操作,黑客就可以访问受害者的钱包。允许;通过触发其他弹窗,黑客可以继续窃取用户钱包中的资产。
由于这些弹窗是从OpenSea存储域发出的,CPR也锁定了平台中的漏洞来源。如果用户没有注意到弹出窗口中描述交易的注释,他们很可能会点击弹出窗口,最终导致整个加密钱包被盗。
CPR识别并推断出该漏洞及利用路径,但OpenSea在随后关于该漏洞的声明中表示,无法识别任何利用该漏洞的实例。
CPR表示,9月26日,他们向OpenSea披露了调查结果,OpenSea迅速做出了反应,并共享了一个包含来自其存储域的iframe对象的svg文件,以便CPR可以一起审查并确保关闭所有攻击向量。在不到一个小时的时间里,OpenSea修复了该漏洞并验证了修复结果。
OpenSea的声明显示,这些攻击依赖用户通过第三方钱包提供恶意交易签名来批准恶意活动。修复漏洞后,他们直接与平台集成的第三方钱包进行协调,帮助用户更好地识别恶意签名。请求,以及帮助用户防止诈骗和网络钓鱼攻击的举措。“我们还加大了围绕安全最佳实践的社区教育力度,并推出了关于如何在去中心化网络上保持安全的博客系列。我们鼓励新用户和经验丰富的老用户阅读该系列。我们的目标是使社区能够检测、减轻和报告区块链生态系统中的攻击,例如CPR所展示的攻击。”
不要轻易将钱包连接到不熟悉的网站
这并不是NFT资产领域发生的第一起安全事件。受害者不仅是普通用户,更集中在普通用户群体中,因为无论是平台还是项目的NFT资产被盗,普通用户都会受到影响。收入。
仅今年3月份,就发生了两起备受瞩目的NFT资产盗窃案。
首先,3月15日,社交NFT代币平台Roll的热钱包被盗。黑客窃取了WHALE和SKULL等一些NFT社交代币,部分资金随后被转移到交易混合器Tornado中。据分析,攻击者在此过程中净赚了约570万美元的ETH。受影响的社交代币的价格大幅下跌。
随后的3月17日,NFT交易市场NiftyGateway的多名用户遭遇账户被盗。一些受害者表示,黑客从他们的帐户中窃取了价值数千美元的数字艺术品;其他遭到黑客攻击的用户声称,他们存档的信用卡被用来购买额外的NFT。NiftyGateway后续声明提到,遭受账户黑客攻击的账户没有启用双因素身份验证(使用两条信息来验证一个人的身份,通常是密码和动态密码的组合),黑客获得了该账户通过有效账户的认证信息。访问权。
随着不可替代代币(NFT)越来越多地与收藏品和有价值的加密资产联系起来,黑客正将触角伸向NFT持有者的钱包,这再次反映出NFT所依赖的区块。链网络安全漏洞。
有经验的用户总结了NFT的攻击向量。例如,黑客将木马病毒文件植入您的计算机以窃取您的登录信息和其他数据;或使用恶意软件记录键盘输入并窃取您的密码;或使用恶意软件记录键盘输入并窃取您的密码。恶意软件可用于获取屏幕截图以获取敏感信息;黑客还可能劫持DNS并创建钓鱼页面,以骗取用户的钱包助记词。
从这一点来看,这些攻击手段与黑客攻击互联网所采用的手段没有太大区别。然而,在互联网应用中,用户从自己或他人的经验中获得了一些防御意识。例如,他们不应该随意点击不熟悉的链接。然而,在使用区块链网络和加密钱包时,一些用户却失去了常识。这与用户对加密资产和区块链基础知识的不熟悉有关,也再次表明区块链基础设施正在变得越来越流行。不成熟程度。
看来普通用户只能从安全事件中学习防范技巧。普及安全知识已成为加密界致力于的工作之一。
NFT创造者兼收藏家JustinOuellette曾在推特上普及NFT资产的保护措施,“不要在多个平台上重复使用相同的密码;学会启用双因素身份验证;小心那些最小化元数据的。”UI网站(通常是钓鱼网站和木马软件);不要向任何人透露您的助记词。”
资产盗窃只是NFT安全的一方面。近日,华中科技大学区块链存储研究中心联合HashKey资本研究发布的一份关于NFT的研究报告显示,NFT系统是一种结合了区块链、存储和网络应用的技术。其安全防护存在一定的挑战。某个组件可能成为安全缺陷,导致整个系统受到攻击,包括假脱机、篡改、否认、信息泄露、拒绝服务(Dos)和提升等。特权)等方面都是NFT系统可能存在的风险。
在安全之路上,NFT还有很长的路要走。