事件始末|駭客得手170萬美金,被OpenSea釣魚信嚇到?官方建議可用來Revoke保護
鏈新聞 2022-02-20 20:00
釣魚信是最常見的駭客攻擊手法之一,製造惡意連結,放在「假冒」的信件或社群中,誘使用戶點入,導致資料或金錢損失。由於加密貨幣應用的操作都直接與金融行為有關,因此一但誤觸釣魚陷阱,有可能造成大量損失。
市場占比第一的 NFT 市場 OpenSea,由於最近更新協議,要求想要持續掛單賣出 NFT 的用戶,需「遷移上架」(Migrate listings),否則現有的賣單都將在 2/26 失效,需要重新掛單。(詳情與操作步驟請見)
不料此事成為駭客的目標,利用遷移事件,製造假冒的釣魚信件,誘使用戶點入「migration」(遷移) ,讓駭客能盜走你的 NFT。(傳出有釣魚信的推特貼文見此)
OpenSea 官方則表示正在主動調查這起傳言,這項攻擊顯然是由 OpenSea 外部網站發起,請用戶切勿點選 http://opensea.io 之外的網站。
目前在 OpenSea 的網頁中也提示了此事件,要用戶切勿點選站外連結:
據 OpenSea 執行長 Devin Finzer 表示:攻擊者賣出盜來的 NFT,得手約 170 萬美元價值的 ETH 。據資安公司 PeckShield 被盜 NFT 清單請見連結。ERC-721 有 253 筆,ERC-1155 有 60 筆。
OpenSea 執行長的澄清與建議
OpenSea 執行長 Devin Finzer 首先說明情況:
- 這是釣魚攻擊,與 OpenSea 網站無直接關係。(因有網路傳言為 OpenSea 智能合約遭到攻擊)
- 共有 32 個用戶簽署了惡意合約中的功能,導致部分 NFT 遭竊 ; 有些則是已歸還
- OpenSea 最近沒有發現有相關的釣魚信,此次的事件也還不知道是由哪個網站給出惡意連結
- 想了解更多攻擊者的技術細節請見:解釋
擔心 NFT 安全的建議
- 每次在簽署合約時,都要再次確認是與 https://opensea.io 互動
- 如果已經受害請聯繫 @opensea_support
- 如果擔心並且想要保護自己的 NFT,可以「取消許可」(un-approve),停止外界與 NFT 的互動權限。
如何使用 Etherscan 的取消許可?
Ethereum Token Approval 可以幫助你了解一個錢包地址中,與哪些協議做過許可簽署 (approved)。以下圖為例,我們輸入的地址中,所有擁有的資金與 NFT 數量如下,它告訴你共有此錢包與 76 個合約曾簽署許可。
選擇 NFT 的常見通用標準,ERC-721 或 ERC-1155 列表,可以看見有哪些已許可合約。按下 Connect to Web3 之後,即可與錢包連結,執行 Revoke (撤回),即花費 Gas Fee 將曾許可合約的權限降為 0。
暢行幣圈交易全攻略,專家駐群實戰交流
▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群)
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!
- 加入鉅亨買幣LINE官方帳號索取免費課程
- 掌握全球財經資訊點我下載APP
上一篇
下一篇