不可替代的代币 (NFT) 是将所有权与现实世界的物品或对象(例如艺术、音乐、视频等)联系起来的数字资产。
尽管它们使用与加密货币相同的区块链技术,但它们不是货币。NFT 具有高度投机性,通常以数百万美元的价格出售。然而,并不是每个投资者都应该渴望它们。
从流行的模因到像素卡通,不可替代的代币的受欢迎程度最近一直在飙升。不幸的是,这一举措并非没有剥削攻击。
周三的 Check Point Research (CPR) 报告揭示了 OpenSea NFT 市场中用户帐户遭到黑客攻击的情况。该协议的 NFT 中的一些错误导致所有用户的加密钱包被盗以及恶意 NFT 的转移。
报告发布后将启动调查。它将涵盖免费空投用作帐户黑客和加密货币盗窃的渠道的恶意 NFT 。
黑客针对 NFT 进行恶意活动
问题的根源不仅仅是 NFT 和空投。但是,通过向受害者发布 NFT,他们会看到它。然后,会出现一条后续消息,需要签名才能连接到钱包。
此外,将出现对二次签名的提示请求。如果用户接受,黑客将访问毫无戒心的用户的钱包和资金。
对于 OpenSea 的情况,安全错误使协议团队能够上传包含恶意负载的 SVG 文件。此上传将从 Opensea 存储子域进行操作。
CPR 在评论这种情况时说,在点击第三方的图片后,用户被要求使用他们的钱包签名。它提到这样的请求与 OpenSea 上的常规程序相去甚远。这是因为它与 OpenSea 提供的服务大不相同,例如购买或收藏商品以及提供优惠。
尽管如此,大多数用户可能会被引诱批准连接。原因是交易操作域来自OpenSea,这可能是其他NFT操作中可以获得的。
9 月 26 日,CPR 团队向 OpenSea 披露了所有发现。这确保了市场在一小时内迅速采取行动,优先考虑和验证安全漏洞并提出解决方案。
最后,OpenSea 发表了一份公开声明,对 CPR 团队提请他们注意漏洞表示感谢。此外,它还承认团队在一个小时内在调查和实施解决方案期间加入他们的努力。
OpenSea 提到,攻击取决于用户对第三方钱包提供商恶意活动的批准。因此,用户有可能链接他们的钱包并授权恶意交易。
