一个攻击者正在从OpenSea的用户那里窃取数百万美元的NFTs

美国时间2022年2月19日（北京时间2月20日），OpenSea用户（

https://twitter.com/jon_hq/status/1495194178355011586?s=21）开始注意到OpenSea平台上的一些奇怪交易。似乎一个攻击者正在使用旧智能合约与OpenSea更新的合约进行互动，并窃取了价值数百万美元的NFT。我们迅速核实了这些交易确实非NFT所有者所为。在发表文章时，攻击者已经从一些不同的用户那里窃取了几个世界上最受欢迎的--也是最昂贵的--NFT。

推特用户Jon_HQ推文截图

如果你为此担心并想保护自己的NFT资产，你可以在这里取消平台对你的NFT收藏的访问权（https://etherscan.io/tokenapprovalchecker）。

最终，被盗的NFT包括四个Azukis，两个Coolmans，两个Doodles，两个KaijuKings，一个Mutant Ape Yacht Club（MAYC），一个Cool Cat，和一个Bored Ape Yacht Club（BAYC）。然后，攻击者迅速将偷来的NFT出售给其他用户，以获利。到目前为止，该攻击者已经出售了超过170万美元的被盗NFT。

编者注：在发表本文时，攻击者已经出售了70万美元的被盗NFTs。仅仅二十分钟后，这个数字上升到170万美元。然而，被盗的NFT资产的总额似乎高出了数百万美元。

此举似乎不是由一个普遍的智能合约漏洞引起的。而是一个潜在的网络钓鱼攻击。黑客似乎在使用一个30天前部署的辅助合约来调用一个四年多前部署的操作系统合约，并使用有效的atomicMatch数据（对于那些有兴趣了解完整技术细节的人，这里有更详细的概述https://twitter.com/Nesotual/status/1495223117450551300）。

在用户最初注意到该活动半小时后发布的推文中，OpenSea证实了这一传言，称该事件似乎是源于OpenSea网站之外的网络钓鱼攻击。在帖子中，该公司敦促用户不要点击官方网站以外的任何链接。

几个小时后，在美国东部时间晚上11点，OpenSea联合创始人兼首席执行官Devin Finzer在Twitter上澄清了到底发生了什么。Finzer重申，根据内部调查，这是一次网络钓鱼攻击，他说至少有32名用户签署了攻击者的恶意有效载荷。除此之外，他指出，公司仍在寻找漏洞问题。"他说："我们不清楚最近有哪些钓鱼邮件被攻击者群发给了Opensea的用户，目前我们还在分析到底是什么网站在欺诈用户，让他们签署恶意合约。

一个旧的错误和新的更新相碰撞

攻击者的交易截图

OpenSea在前一天，即2022年2月18日刚刚发布了新的智能合约升级。

在宣布升级的官方声明中，该公司表示，它的目的是删除平台上不活跃列表。"这个新的升级将确保以太坊上旧的、不活跃的列表安全地过期，并允许我们在未来提供新的安全功能，"他们说。因为升级，所有OpenSea用户都被要求将他们的NFT列表迁移到新的智能合约。

不幸的是，这已经不是第一次出现这样的问题了。事实上，这次最新的更新正是因为要修复之前的一个bug，这个bug也让用户损失了他们的钱和NFTs。

2022年1月，OpenSea上的一个漏洞使攻击者能够以远远低于其实际价值的价格购买安全的NFT。这个漏洞最初是在2021年12月31日前后发现的，它允许攻击者以较低的旧价格进行购买。ZenGo加密货币钱包的首席技术官Tal Be'ery指出，BAYC系列的一个NFT被列在其2021年7月的价格下，只有23个以太坊。在以这个价格购买后，攻击者能够以135个以太坊的价格出售。

按照今天的标准，这对攻击者来说是接近30万美元的利润，而对不幸的卖家来说，这导致了巨大的损失。

这个错误最终是由于OpenSea的平台与以太坊区块链互动的方式而产生的。分开来看，该平台经常通过在本地列出报价，而不是将其编码到更广泛的链上，来节省汽油费。然而，系统中的一个错误允许旧的合约留在区块链上而不出现在OpenSea中。许多合约是多年前的。通过对这些合约进行报价，攻击者就理所当然的可以利用过时的价格扫货。

OpenSea确实回应了这个问题，并为用户提供了某种程度的退款。不幸的是，许多人对他们的提议感到不满意。

具有讽刺意味的是，最新的升级是为了修复这个确切的错误。OpenSea澄清说，新系统的目的是允许个人取消所有未完成的合约，同时只产生最小的汽油费。然而，这似乎给一些遭受网络钓鱼攻击的用户带来了更多问题。

我们联系了OpenSea，但他们没有立即回应评论请求。我们将根据收到的任何回应更新这篇文章。这是一个发展中的故事，一旦有新的信息出现，我们将及时更新。