NFT 交易平台巨頭 Opensea 才宣布升級智能合約以確保鏈上非活躍掛單能安全過期,豈料馬上就被駭客納為目標,在短短 9 小時中,駭客盜竊走高達 2 億美元的 NFT 項目。儘管目前市場流竄著駭客盜竊的手法,不過上述說法都尚未被證實,OpenSea 也呼籲用戶應謹慎點擊欲前往的網頁。
(前情提要:NFT | Opensea智能合約升級,籲用戶儘快遷移;Axie Infinity大改版:Origin (Battles V3) )
(事件背景:OpenSea 驚傳出包!知名 NFT(BAYC、MAYC…) 以低於地板價 1%售出,有人秒賺300ETH)
NFT 交易平台龍頭 Opensea 為解決先前在平台上頻傳的漏洞,昨(19)日才宣布升級智能合約(地址:0xa2c0946aD444DCCf990394C5cBe019a858A945bD),呼籲用戶皆須將位於以太坊上的 NFT 掛單「遷移」到新的 Wyvern 智能合約,以確保原先在鏈上的非活躍掛單能安全過期。
豈料,距離宣布時間僅僅一天的時間,已有不少人在社群上表示,OpenSea 的遷移合約疑似存在漏洞,允許非持有者用戶竊取其他用戶 NFT;據推特上擁有 42 萬人追蹤的 KOL Mr. Whale 所述,損失已超過 2 億美元。
有Bug?Opensea 被駭?
有人正透過 Opensea 的新遷移合約漏洞進行大規模的動作,漏洞允許用戶出售與竊走非持有者的任何 NFT,目前至少損失數百萬美元了。
https://twitter.com/unusual_whales/status/1495204532753625092
據推特帳號 Wu Blockchain 稍早所述:
市場上疑似出現一名駭客正透過智能合約 0xa2c0946aD444DCCf990394C5cBe019a858A945bD 與 OpenSea 新交換合約 V2 進行互動。
我非常不確定整體是如何運作的或是否有漏洞,但看起來 OpenSea 的新合約已經被駭了。
據 Etherscan,錢包地址為 0x3e0defb880cd8e163bad68abe66437f99a7a8a74 的駭客,從今日凌晨 3 點多開始,便開始透過疑似為 OpenSea 的 bug 竊取大量 NFT 並出售套利,盜取的 NFT 包含 BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等多種高價值 NFT 項目。
The Block分析師:不是被駭,是被釣魚攻擊
正當眾人紛紛認為是 OpenSea 的合約漏洞所致時,The Block 分析師 Frank Chaparro 跳出來為 OpenSea 喊冤稱,OpenSea 根本沒有出現漏洞,整起事件疑似為駭客利用釣魚郵件所發起的攻擊。
Frank Chaparro 還轉發 Cyphr.ETH 推文稱,駭客其實是偽造了 OpenSea 幾天前發布的電子郵件格式的釣魚郵件,讓受騙的用戶遷署 WyvernExchange 合約權限:
駭客透過釣魚電子郵件偽造先前 OpenSea 發布的正版電子郵件,讓受騙用戶透過 WyvernExchange 簽署合約許可,整體並沒有漏洞,只是人們一如往常沒在看簽署合約內容。
Calling it now.
The hacker used a standard phishing email copying the genuine #Opensea one sent out a few days ago, then got a number of people to sign permissions with WyvernExchange.
No exploit, just people not reading sign permissions as normal. pic.twitter.com/bQj5JCzp6B
— ℭ𝔶𝔭𝔥𝔯.Ξ𝔱𝔥 (@CyphrETH) February 20, 2022
不過也有網友表示,別只把錯全全怪在駭客身上:
OpenSea 謊稱漏洞實際上是來自網路釣魚電子郵件,這 100% 不是真的,而是他們原始碼中出現了缺陷,才導致這歷史上最大條的 NFT 漏洞駭客事件。
#OpenSea is now lying and claiming the exploit was actually just phishing emails people were receiving.
This is 100% not true, but rather a flaw in their code which led to one of the largest #NFT exploits in history. pic.twitter.com/qGRq0MaFT1
— Jacob King (@JacobOracle) February 20, 2022
Solidity 開發者:非智能合約漏洞,原始碼是安全的
以太坊智能合約程式語言 Solidity 開發者 Foobar 也對駭客的犯案手法分析道:
駭客使用了一個在 30 天前就部屬的輔助合約,透過 atomicMatch() 有效數據來調用 4 年前部屬的系統合約。
整體看起來像是幾個禮拜前就布局好的釣魚攻擊,並且在合約遷移完成前夕,也就是原先掛單失效前,全數盜走。
並稱,此事可能是幾個禮拜前就布局好的典型網路釣魚攻擊,智能合約並無漏洞,原始碼是安全的。
目前仍無從得知,實際造成此次事件的確切主因為何,對此受害平台 OpenSea 也隨後發文表示:
我們目前正積極調查與 OpenSea 相關智能合約的漏洞傳聞。
不過這似乎是源自 OpenSea 網站以外的網路釣魚攻擊,請用戶不要點擊任何 Opensea.io 以外的連結。
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
駭客錢包動向一覽
錢包地址為 0x3E0DeFb880cd8e163baD68ABe66437f99A7A8A74 的駭客,據動區查證,在過去 7 小時內,包括轉出與轉入就包括 482 筆交易;錢包更是坐擁超過 641 顆 ETH(約為 172.4 萬美元),手上握有 17 個 AZUKI、3 個 BAYC、2 個 CloneX、2 個 Cool Cats 等…,值得一提的是,該名駭客已將不少 NFT 轉出該錢包。
據吳說區塊鏈推文當時所述:
駭客盜走的 NFT 總共只花了 750 美元的手續費,包括 4 個 Azukis、2 個 Coolmans、2 個 Doodles、2 個 KaijuKings、1 個 MAYC、1 個 Cool Cat、1 個 BAYC。
看起來像是專門與 OpenSea 新合約的直接互動。
For a grand total of $750 in gas, the attacker paid no ETH to purchase, and scooped 4 Azukis, 2 Coolmans, 2 Doodles, 2 KaijuKings, 1 MAYC, 1 Cool Cat, 1 BAYC… for $750.
Seeing nothing about x2y2. Looks like a straight interaction with OS' new contract https://t.co/7eu9p0rpZK pic.twitter.com/D4u0MV6CB1
— Jon_HQ (@Jon_HQ) February 20, 2022
📍相關報導📍
OpenSea新政策遭罵翻!限制創作者「最多創5個NFT系列」,官方緊急喊卡撤銷
NFT | Azuki共同創辦人:OpenSea白名單合約有漏洞;任天堂總裁:我們對NFT、元宇宙很感興趣
獲利近150顆以太幣!駭客再度利用OpenSea「漏洞」低買高賣Cool Cat、BAYC
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務