OpenSea钓鱼攻击事件启示:警惕三个安全教训_VAL:PRO

原文作者:DanielChong,Harpie联合创始人

原文编译:杨树

2月19日,攻击者使用了看似「毫无技巧」的电子邮件网络钓鱼攻击,成功从一名OpenSea用户手中盗走了254个NFT,其中包含价值不菲的Decentraland和BoredApeYachtClub系列藏品。这位用户收到了伪造的电子邮件并被要求批准智能合约,而在用户批准了合约之后,黑客顺利地从被钓鱼用户的钱包中提走了NFT。

安全教训,以便对未来的攻击保持警惕。

货币容易

DeFi协议使用的经典Approval合约

马斯克:AI竞赛OpenAI领先谷歌:4月19日消息,马斯克被问及他是否与开发超级人工智能的两家公司有过接触。马斯克表示,我和OpenAI团队谈过,但我没有和拉里·佩奇谈过,因为他已经好几年没和我谈过了,看起来OpenAI领先了。(金十)[2023/4/19 14:12:50]

「Approval」几乎是所有基于智能合约的代币的功能,当用户「Approval」另一个钱包时,就意味着允许该钱包稍后从用户自己的钱包中转移代币。例如,如果我「Approval」我「0x123」钱包的USDC和无聊猿NFT,那「0x123」就可以将这些代币转出。

OpenNode与Primer达成合作,帮助全球商家提供比特币支付方式:金色财经消息,比特币支付处理器和基础设施提供商OpenNode宣布与Primer建立新的合作伙伴关系,将使世界各地的商家能够接受比特币作为产品和服务的支付方式。

据悉,Primer是在全球范围内运营的商业和支付自动化平台,提供易于使用的基础设施来构建更好的购买体验。通过其合作关系,使用Primer的商家现在可以通过一键式集成方案添加比特币作为结账支付选项。(Prweb)[2022/5/18 3:23:23]

大多数DeFi协议都使用「Approval」作为将资产转移到协议的主要方法。

Parity开发者Wei Tang:OpenETC主要开发者已删除其账户:8月4日早间,Parity开发者Wei Tang发推称,OpenEthereum的一个名为OpenETC的分支,可能是有史以来最为短促的分支之一。两周前很多ETC社区成员还在推广OpenETC,但他们最终放弃了。OpenETC的主要开发者已删除他的账户。Wei Tang表示,ETC链上还有很多的匿名或假名支持者账户,他们每天都只是在随机进行无意义的指责。OpenETC是对所有人的一个警告,我们应该更加小心我们所信任的东西。此前消息,ETC客户端OpenEthereum宣布停止支持ETC。随后,ETC官方宣布OpenEthereum已被分离并命名为OpenETC。[2020/8/4]

「Icephishing」是微软创造的一个术语,是指一种诱用户批准黑客地址的行为。只需单击MetaMask窗口中的一个按钮,用户就可以将资金的完全访问权限授予黑客,而这正是此次OpenSea网络钓鱼期间发生的事情。

你能看出区别吗?

电子邮件网络钓鱼是大多数人不再担心的事情:现代垃圾邮件过滤器和多年的经验使电子邮件网络钓鱼对于大多数精明的用户来说已成为过去。

相比之下,Web3存在一些挑战,使得从常规合约中识别网络钓鱼合约变得更加困难。

在上面示例的顶部,会看到签名时使用的网站URL并不相同:左侧是「uniswap.org」,右侧是「unLswap.org」。如果用户没有抓住容易忽略的细节并签署合约,对不起,这样就会丢失钱包中的所有USDC。

虽然网站URL是一种经典的网络钓鱼策略,但是当执行黑客攻击时唯一需要的只是按下批准按钮时,它的危害就会变得很大。

Gmail的自动垃圾邮件过滤器,每天可保护数百万人免受网络犯罪的侵害

也许反网络钓鱼技术的最大例子是垃圾邮件过滤器:它已成为互联网上经常被忽视的重要基石。也正因为垃圾邮件过滤器会自动检测几乎所有的网络钓鱼攻击,因此Web2网络钓鱼攻击已经失去了大部分效力。

然而,在Web3中,几乎没有任何保护措施来防止用户意外地从「unlswap.org」或「sushl.com」批准合约,我们有责任仔细观察,从而确保永远不会犯错误。

由于网络钓鱼通常很容易避免,因此在现代互联网中长大的人,往往会轻视网络钓鱼的有效性以及那些被网络钓鱼的人。

实际上,由于易于执行和投资回报,网络钓鱼仍然是最常见的网络犯罪类型。为了规避加密中的网络钓鱼,开发人员社区需要联合起来开发软件,使网络钓鱼者更难窃取资金。

ETHDenver寻宝:30个获胜项目你都知道哪些?》)。

这些flashbots可在资金从钱包中转出时进行检测,一旦检测到资金是转移到不受信任的地址时,MEV领跑者就会立即以两倍Gas费发送一个交易,把用户的所有资产转移到备用地址。。我提到这一点只是为了鼓励其他开发人员继续考虑其他方法来阻止网络钓鱼攻击。

尽管网络钓鱼攻击和具有简单而不成熟的内涵,但成为它们牺牲品的危险是非常真实的。由于Web3如此年轻,因此在Web3生态里建立起更好的保护措施来对抗它们之前,与网络钓鱼面对面将是司空见惯的事情。每一次成功的局背后,都会有一个用户停止使用Web3,而Web3生态在没有任何新用户的情况下,将无处可去。

原文链接

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:31ms0-3:942ms