上周六，攻擊者從OpenSea用戶那里偷走了數百個NFT，在該網站的廣大用戶群中造成了深夜的恐慌。區(qū)塊鏈安全服務PeckShield編制的電子表格顯示，在攻擊過程中，有254個代幣被盜，其中包括來自Decentraland和Bored Ape Yacht Club的代幣。

大部分的攻擊發(fā)生在美東時間5點到8點之間，總共針對32個用戶。經營博客Web3 is Going Great的Molly White估計，被盜代幣的價值超過170萬美元。

"他們都有有效的簽名"

這次攻擊似乎利用了Wyvern協議的靈活性，Wyvern協議是大多數NFT智能合約的開源標準，包括OpenSea上的合約。一種解釋（由首席執(zhí)行官Devin Finzer在Twitter上鏈接）將攻擊分為兩部分：首先，目標簽署了一個部分合同，其中有一個一般的授權和大部分留空。隨著簽名的到位，攻擊者通過調用他們自己的合同來完成合同，在不付款的情況下轉移NFT的所有權。實質上，攻擊的目標已經簽署了一張空白支票--一旦簽署，攻擊者就會填寫支票的其余部分，以獲得他們的持股。

"我檢查了每一筆交易，"這位名叫Neso的用戶說。"他們都有失去NFTs的人的有效簽名，所以任何聲稱他們沒有被釣魚但失去NFTs的人都是可悲的錯誤。"

在最近的一輪融資中，OpenSea的估值為130億美元，它已經成為NFT熱潮中最有價值的公司之一，為用戶提供了一個簡單的界面，可以列出、瀏覽和競標代幣，而無需直接與區(qū)塊鏈互動。這種成功伴隨著重大的安全問題，因為該公司一直在與利用舊合約或中毒代幣的攻擊作斗爭，以竊取用戶的寶貴資產。

攻擊發(fā)生時，OpenSea正在更新其合約系統(tǒng)，但OpenSea否認攻擊源于新合約。由于目標數量相對較少，這樣的漏洞不太可能出現，因為更廣泛的平臺中的任何缺陷都可能在更大范圍內被利用。

但是，這次攻擊的許多細節(jié)仍然不清楚--特別是攻擊者用來讓目標簽署半空合同的方法。OpenSea首席執(zhí)行官Devin Finzer在美東時間凌晨3點前在Twitter上寫道，這些攻擊并非來自OpenSea的網站、其各種列表系統(tǒng)或該公司的任何電子郵件。攻擊的速度之快--在幾個小時內有數百筆交易--表明有一些共同的攻擊媒介，但到目前為止還沒有發(fā)現任何聯系。

"Finzer在Twitter上說："當我們了解到更多關于網絡釣魚攻擊的確切性質時，我們將向您提供最新信息。"如果你有可能有用的具體信息，請DM @opensea_support"。

關鍵詞：