# 签名就被盗NFT！小心小心！

**Published by:** [Jason chen](https://paragraph.com/@jason-chen/)
**Published on:** 2022-10-23
**URL:** https://paragraph.com/@jason-chen/nft-6

## Content

NFT被盗的各个手法大家应该经过这么久的市场教育已经比较熟悉了，主要是通过诱导你点击某个按钮触发approve事件将你的NFT授权给别人，从而对方可以转移走，这种手法其实已经识别度很高了，毕竟它需要把小狐狸弹出来后，让你交一笔gas费完成approve操作，一到了交钱的时候毕竟大家也会意识到有问题了，但是我今天要讲的这个手法真的让我后背发凉，如果我的朋友没有遇到我真的不会意识到，如果我遇到了我也一定会中招！所以大半夜的在凌晨3点我需要将它写下来分享给大家，请转发预警周围的朋友们！ 今天晚上我的一位朋友说他登录了一个假冒网站，然后仅仅进行了签名，所有授权给opensea即曾经挂过单的NFT均被转走了！这个假冒网站是冒充最近因空投大热的Blur，所以每当出现这种行业热度很高的事情时就一定会冒出来几个浑水摸鱼捞一把的黑客们。这是它被盗的那笔交易记录，可见在一笔交易中5个NFT被转走了。然后我们看到这个交易的发起方form已经被标记为钓鱼地址，下面的交互合约地址旁边有一个Seaport字样，还被打了一个绿色的对勾。Seaport那可能是和这个Seaport合约进行了交互才导致被盗的？但是这个合约被打了绿标应该是健康认证过的呀，Seaport是什么呢？ Seaport是opensea在今年5月20日推出的一个NFT交易协议，用于取代已经使用了4年之久的Wyvern，它的本质就是一个处理NFT交易的订单薄智能合约，也就是你所有在opensea进行的NFT交易行为挂单、offer等全部走的这个协议，这是opensea官方的协议，怎么可能会出问题呢？然后我打开了被盗NFT的交易，发现其被执行了Match Orders操作从而被转移给了另一个地址，Match Orders即Seaport中匹配到了订单，看着像是你情我愿呀这不是Match到了吗？ 为了帮我的朋友破案，我壮着胆子试毒，打开了这个钓鱼网站并连接钱包，然后出现了一个签名，看着挺正常的人畜无害，但里面肯定有鬼我不敢点，先放在一边。因为Seaport是opensea的NFT交易协议，然后我朋友说他所有挂单的NFT均被盗了，并且刚才看到是执行了协议内的Match Order即匹配到了买家完成成交，挂单的逻辑就是我将某个NFT背后的collection执行approve方法授权给opensea，让opensea有权限转移我的NFT即托管，这个过程是要交gas费的，然后我再将某个NFT挂单时则是进入到opensea链下的订单薄中即Seaport中，当有人对该订单进行交易时opensea再进行链上资产转移操作，那我来到opensea试着挂一个看看Seaport到底在搞什么鬼。 当我点击listing后，卧槽出来的签名居然和我刚才在钓鱼网站遇到的一模一样！这说明什么，大胆推演，钓鱼网站执行了Seaport让我在不知情的情况下在opensea进行了交易！我们来看一点钓鱼网站弹出的签名中到底都有什么内容。 首先有一个itemType，它指的是本次交易的目标资产类型，1、2、3分别表示ERC20、721和1155，所以它是要盯着我的NFT啊（721是NFT的主流类型）。然后offerer字段里面是我的地址，Seaport中若itemType为NFT类型即ERC721/1155，则offerer是卖方要把自己的NFT卖出去，若为ETH/ERC20这种“钱”的则offerer是买方来花钱买NFT的，所以这里填写的是我的地址，太歹毒了这个签名里面居然要把我的NFT转出去！然后我们再往下看，token字段里面有一串地址。我把它复制粘贴到opensea打开后，歹毒，歹毒啊！居然要偷走我的熊市之光debox小企鹅！而正如之前分析的一样，debox也恰好就是我曾经在opensea挂单过的NFT！（对不起我居然之前卖过熊市之光..太穷了赚点包子钱） 再往下看，recipient字段中是一个我很陌生的地址。我将该地址复制后在我朋友被盗的那个交易中进行检索后，果然出现在了里面命中了！所以是该假冒网站调用了Seaport协议让我对opensea进行了操作从而转移走了我的NFT，具体的机理还需要深入研究，我不知道中招的人有多少，但是请大家一定铭记如果你在签名时遇到了如上我截图的Seaport字样，以及签名内容中包括了offerer等，请一定要谨慎！我们BuidlerDAO孵化的防钓鱼安全插件 www.metashield.cc 也会尽快想办法将该风险识别更新上去！ 欢迎关注我的twitter：@jason_chen998，也可添加我的微信 cj350306878，请备注姓名、公司及目的 往期文章：详解去中心化POS质押赛道头部项目SSV聊聊以太坊2.0、POS质押和TVL达到59亿美金的Lido聊聊即将过审的多权限NFT管理协议EIP5496浅研账户抽象与智能钱包从以太坊上海升级聊聊以太坊的前世今生浅研Push Protocol浅研Lens Protocol聊聊我理解的Layer0、1、2到底是什么？签名就被盗NFT！opensea协议被攻击！小心小心！浅谈我对模块化区块链的理解聊聊Tableland这个“鸡贼”的熊市明星项目以太坊今天过审的可租赁NFT ERC-4907为什么这么重要？Web3的募资方式如何改变了组织生产方式？我为什么会对这个NFT项目如此愤怒？关于Optimism事件文章的错误更正与补充信息深度解析Optimism被盗2000万来龙去脉！真tm精彩！熊市不赚钱，但不该亏的钱咱们也别亏已经触底的luna又被薅走1000万美金是怎么回事？警惕：剪贴板幽灵是怎么悄悄的偷走了你的私钥？你们再这样上当受骗，我都忍不住要割你们了当我把eth.eth注册下来后：我，V神，打钱深度分析：科学家是怎么偷走了你卖出NFT的利润？Akutar NFT的2个亿因为写错1个单词被永久锁死了？！深度解析：NBA的16进制合约漏洞是怎么被科学家薅秃噜皮的？可以退款的ERC721R会成为闯入NFT市场的鲶鱼吗？那个可以跨链的Gh0stlyGh0sts会成为下一个Azuki吗？如何做一个钓鱼网站偷走周杰伦的NFT？ERC1155是什么？以阿迪达斯NFT为例解析怎么通过看懂etherscan了解NFT项目情况？我是怎么让V神给我转了一个NFT的？web3的产品架构和web2到底有什么区别？为什么你在opensea“铸造”的NFT不需要交gas费？如何用5行代码发行一套虚拟货币？阿狸NFT到底做错了什么？web3的世界一片蛮荒-详解ERC721A如何在一级市场发行NFT（2）：NFT图片生成当你在买NFT时，你买到的究竟是什么？NFT的130亿美金是从哪里来的？它与虚拟货币之间的关系是什么？如何在一级市场发行NFT系列（1）：区块链合约开发浅谈我对元宇宙、Web3、区块链与NFT的理解

## Publication Information

- [Jason chen](https://paragraph.com/@jason-chen/): Publication homepage
- [All Posts](https://paragraph.com/@jason-chen/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@jason-chen): Subscribe to updates
- [Twitter](https://twitter.com/jason_chen998): Follow on Twitter