作者OpenSeaCTONadavHollander在帖子中分享了針對(duì)OpenSea用戶的網(wǎng)絡(luò)釣魚攻擊的技術(shù)概要，并提供了一些關(guān)于web3技術(shù)的教育。經(jīng)過審查惡意訂單后，發(fā)現(xiàn)以下幾點(diǎn)信息：

- 所有惡意訂單都包含來自受影響用戶的有效簽名，表示這些用戶確實(shí)在某個(gè)時(shí)間點(diǎn)某處簽署了這些訂單。然而，在簽署后，這些訂單并沒有廣播到OpenSea。

- 沒有惡意訂單針對(duì)新的（Wyvern2.3）合約執(zhí)行，說明所有這些訂單都是在OpenSea最新的合約遷移之前簽署的，因此與OpenSea的遷移流程無關(guān)。

- 在相對(duì)較短的時(shí)間內(nèi)有32名用戶的NFT被盜。這是非常不幸的，但也表明這是一次有針對(duì)性的攻擊，而不是OpenSea存在系統(tǒng)性問題。

這些信息以及與受影響用戶的討論和安全專家的調(diào)查表明，攻擊者意識(shí)到這些惡意訂單即將失效，因此在2.2合約棄用之前執(zhí)行了這次網(wǎng)絡(luò)釣魚操作。

在實(shí)施EIP-712之前，我們選擇在新合約上實(shí)施EIP-712的部分原因是EIP-712的類型化數(shù)據(jù)功能使不法分子更難在不知情的情況下誘騙某一位用戶簽署訂單。

舉例來說，如果您要簽署一條消息以加入白名單、抽獎(jiǎng)或以代幣您會(huì)看到一個(gè)引用Wyvern（OpenSea使用的協(xié)議）的類型化數(shù)據(jù)有效負(fù)載，如果發(fā)生一些不尋常的事情，則會(huì)向您發(fā)出警示。

在我們的領(lǐng)域，“不要共享助記詞或提交未知交易”這樣的教育已變得更加普遍。然而，簽署鏈下消息同樣需要同樣的思考。

作為一個(gè)社區(qū)，我們必須轉(zhuǎn)向使用EIP-712類型數(shù)據(jù)或其他商定標(biāo)準(zhǔn)（如EIP-4361（“使用以太坊登錄”方法））來標(biāo)準(zhǔn)化鏈下簽名。

所以，您會(huì)注意到在OpenSea上簽署的所有新訂單（包括遷移的訂單）都使用新的EIP-712格式。雖然有一些改變可能會(huì)引起理解上的困惑，但這些改變實(shí)際上使訂單簽署更加安全，因?yàn)槟憧梢愿玫乜吹侥愫灥氖鞘裁础?p>此外，我們強(qiáng)烈呼吁開發(fā)者和安全公司（如@nesotual，@dguido，@quantstamp）向社區(qū)提供有關(guān)這次攻擊性質(zhì)的詳細(xì)信息。

雖然這次攻擊似乎來自O(shè)penSea外部，但我們正積極協(xié)助受影響的用戶，并討論為他們提供額外幫助的方式。

熱點(diǎn)：幣圈釣魚哥 比特幣攻擊 攻擊比特幣 幣圈攻擊 幣圈oct