# 加密八卦 | OpenSea合约的漏洞,将他的钱包掏空… | Penny777 By [Penny777.eth](https://paragraph.com/@penny777) · 2022-02-20 --- 以下内容来自网友自述,全不真实可信。为了增加可读性,我将信息用故事线的方式整理了出来,**希望大家引以为戒**。**在炒币与炒NFT的同时,也能认真工作,_未到燎原时,一定要保留好自己的“薪薪”之火_,以应对这种收入全无的黑天鹅事件**。 ······· 北京,2022年2月20日,他像是往常一样堵在后厂村路上。不同以往的是,今天微信里似乎格外吵闹,一直有提示音响个不停。他不耐烦的解锁看了一眼,结果就这一眼让他吓出一身冷汗。 “赶紧,大家检查一下钱包。授权过OS要注意了” “说是他们升级合约有漏洞,有人的BAYC,Doodles,CoolCat,Mfer全被盗了” “星球日报快讯《OpenSea新迁移合约疑似出现bug,攻击者正窃取大量高价值NFT》” ![](https://storage.googleapis.com/papyrus_images/ddd1a275ac85223b79629919c7928b4ecb1a0294a811ddfbba2f9eb3cf99faf6.png) 几乎每一个群都炸开了锅的讨论这件事。从传闻中他得知,由于近期OpenSea例行更新,为了能让on list的NFT能完成转移,就推出了迁移合约:0xa2c0946aD444DCCf990394C5cBe019a858A945bD ,但似乎这次的合约有漏洞。在这个节骨眼上,有用户的BAYC,Doodles,CoolCat等蓝筹被盗。 操,NFT玩了快一年。**_BAYC现在的floor有90e了,不争气的Doodles也有13e多_**,这要是被盗了…一想到这里,他的心就痛了起来。赶紧拿出手机想要联网看看。 结果还没加载出来,就有后车在按喇叭嫌他挡了道。 “操,瞎JB催什么催???”他嘴里碎碎念的骂道。平时他从不这样,逢人都是文质彬彬问好,“你好”“不好意思久等了”这些都是他的口头禅,结果他也没想到为什么今天脏话就脱口而出。果然,人在极端情况下会暴露自己的本性…他一遍思索一遍挪开了车。 车停好之后,网络不好的他依旧没能拿手机连上OpenSea。群里的网友们纷纷给他出主意,先别连了,要不先试试remove或者transfer吧,保全资产安全最重要。 他赶紧试了试最主流的remove的网站: **http:// etherscan.io/tokenapprovalchecker** **https:// revoke.cash/** 结果竟然都他妈的打不开,有群友分析不排除hack在一边DDoS一边偷用户的NFT,这是常见的拖延时间的手段,如果用在数百万美金的NFT上,那也不足为奇。 ![](https://storage.googleapis.com/papyrus_images/1036e072364904f67dc4ed898b7ddf3fbb92e0e0138aceed9cc705fb541f9e50.png) 这一切气得他都要摔手机了,但一想到自己如果钱包归零了,那他妈的手机坏了都没钱买新的。摔了岂不是跟自己过不去?这一刻他有一种强烈的无助感,曾经朋友送的Onekey被他嫌麻烦不知道放到哪里去了,现在他格外希望时间倒流,他一定做好加密资产的保护。 “最新消息,有twitter上的大v表示:**_OpenSea未出现漏洞,黑客利用钓鱼邮件发起攻击_**” “你快想想,你这两天有点过OpenSea发的授权合约的邮件吗?”网友们纷纷给他出主意。 “我好像看过邮件,可具体有没有授权我不记得了”他努力的回想着,但又实在不能肯定,就在心烦意乱的时候,居然还有陌生的电话打了进来。人就是这样,越倒霉事情越多,他反手就挂断了电话。 “没办法,那你只能多刷新**revoke.cash**了”网友表示爱莫能助。 此刻的他感到格外的无助,只能不断的刷着手机页面,祈祷**revoke.cash**能快点恢复。不管是合约漏洞,还是钓鱼网络,他平日毫不在意安全习惯,**_随意点合约授权,随意的复制粘贴私钥_**,**_这都可能导致他在这次的风波之中归零_**。想到明明今年想要靠炒NFT暴富,然后把老板给炒了,但这一归零可能就全完了。 loading… 页面刷出来了! 在刚加载出logo的时候,刚刚的陌生电话又打了进来。操!他猛地骂道。这个时间多半反复拨打的陌生号码,很有可能是客户打来的。但他想都没想又挂断了电话,去他妈的客户吧! 由于电话的连线,网络又不好使了。**revoke.cash**再次打不开,好在这会儿OpenSea似乎恢复了访问,从浏览器登录了进去。网页首页的警示横幅,让人看着触目惊心。他颤巍巍的链接了钱包授权。 **BAYC : 0 / MAYC : 0 / Doodles : 0 / Azuki : 0 / CloneX : 0…** 越往下看,心越沉。钱包里只有一些不入流的图狗了,果然这些图狗,黑客都不屑于偷。他又去看了token:只剩下500刀了…这还是上次冲图狗剩下的。 ![](https://storage.googleapis.com/papyrus_images/67c59ce457989a02850e78a2c626eabd644f2605799203b6f7101fd58b82b3ba.png) 他欲哭无泪,只能整顿心情。在输入框沉重的敲下几个字,发送到社群里面。 “**_没事,账户没有被盗。_**” “没被盗就好,也是,你那个几个钱Gasfee都不够。”网友说到,听不出是安慰还是嘲笑。 此时,电话又不合时宜的打进来了。但这一次他平复了心情,接起了电话:“你好” “我好?我他妈不好,都几点了,外卖还送不送了?打电话不接是吧?!CNM,我早饭不吃饿到现在…” “抱歉…真不好意思,刚刚有事情耽误了一下。” “别他妈抱歉了,我他妈这就投诉你!”嘟嘟嘟…对方挂断了电话。 操,被投诉了,今天一天又白干了。他看了一眼余额只有500刀的钱包,叹了一口气。只能继续骑上电瓶车,上了路。大不了,外卖再送两年半… **_这次他没有失去什么,因为冲图狗,本就一无所有_**…:) 以上内容,全不真实可信。为大家划重点: 1)币圈河边走,那有不湿鞋。做好安全措施,没事别乱点授权,没事remove一下。 2)好用的Remove网站:**http:// etherscan.io/tokenapprovalchecker ;https:// revoke.cash/** 3)没事别冲图狗。 4)**_最重要的:送外卖记得准时,不然会被扣工资: )_** 我的上一篇文章:(mirror的抓取有点问题,点击标题下方就能进入文章) 加密八卦 | 阿狸项目方的骚,折了韭菜们的腰 | Penny777 ================================= [https://mirror.xyz/penny777.eth/JtKaeHwxmcb\_iYK3GTlrltm9U6ALHvFumxKfsqRTx9Y](https://mirror.xyz/penny777.eth/JtKaeHwxmcb_iYK3GTlrltm9U6ALHvFumxKfsqRTx9Y) 欢迎来我们NextDAO: (手动去掉空格) 找我一起玩耍:) --- *Originally published on [Penny777.eth](https://paragraph.com/@penny777/opensea-penny777)*