今晨,关于 OpenSea 疑似出现 bug 一事引发了大量关注与热议。
事件起因为,多位用户今晨于推特发布警告称,OpenSea 昨日推出的新迁移合约(地址:0xa2c0946aD444DCCf990394C5cBe019a858A945bD)疑似出现 bug,攻击者(地址:0x3e0defb880cd8e163bad68abe66437f99a7a8a74)正利用该 bug 窃取大量 NFT 并卖出套利。
从攻击者钱包的截图来看,当前失窃 NFT 涵盖 BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等多种高价值系列,其中部分已以地板价卖出,但也有一部分已原路转回失窃地址(黑客还向部分失窃用户打了些 ETH)。
所谓迁移合约,来自于 OpenSea 昨日发布的一项新升级。昨日,OpenSea 宣布其智能合约升级已完成,新的智能合约已经上线,用户迁移智能合约需签署挂单迁移请求,签署此请求不需要 Gas 费,无需重新进行 NFT 审批或初始化钱包。在迁移期间,旧智能合约上的报价将失效。英式拍卖将于合约升级完成后暂时禁用几个小时,新合约生效后,可以再次创建新的定时拍卖。现有智能合约的荷兰式拍卖将于北京时间 2 月 26 日 3 时在迁移期结束时到期。
事件发生后,OpenSea 于官方推特回应称:“我们正在积极调查与 OpenSea 智能合同有关的传闻。这看起来像是来自 OpenSea 网站外部的网络钓鱼攻击。不要点击 http://opensea.io 之外的任何链接。”
Alchemix、Sushiswap贡献者,推特用户 @0xfoobar 在事件发生后也于推特发布了关于此事的个人调查。@0xfoobar 称,黑客系使用 30 天前部署的辅助程序合约来调用 4 年前部署的 OpenSea 合约,该辅助合约同样具有有效的 atomicmatch() 数据,这可能是起于几个星期前的一场钓鱼攻击,黑客正赶着在所有挂单过期之前进行攻击。
@0xfoobar 进一步分析称,此事与 OpenSea 新迁移合约唯一的关系是,由于 OpenSea 智能合约升级后所有的历史挂单都将在 6 天内到期,这其中也包含了所有来自已被钓鱼攻破的地址的挂单,所以黑客不得不立即采取行动。换句话说,这是一场钓鱼攻击,而非一场通用智能合约漏洞,OpenSea 的合约并没有出现问题。
@0xfoobar 的分析与其他一些大 V 不谋而合,gmDAO 创始人 Cyphr.ETH 发推称,黑客使用了标准网络钓鱼电子邮件复制了几天前发出的正版 OpenSea 电子邮件,然后让一些用户使用 WyvernExchange 签署权限。OpenSea 未出现漏洞,只是人们没有像往常一样阅读签名权限。
至此,本次安全事件的原因已基本清晰,受影响群体为曾点击过上述邮件并签署了权限的用户,出于安全起见,建议这些用户暂时撤销 OpenSea 的所有授权。可用的合约授权签署工具包括 https://revoke.cash/ 或 https://zapper.fi/revoke 或 https://etherscan.io/tokenapprovalchecker 或 https://approved.zone/ 或 https://tac.dappstar.io/#/ ,部分网站可能因当前访问量过大无法打开,可以多试试。
