Cyber Security researcher
Share Dialog
Share Dialog
Cyber Security researcher
Subscribe to R0chGh0st
Subscribe to R0chGh0st
https://mp.weixin.qq.com/s/kLMUMr1t5dP-96fSKsD2vQ
与自己和解:我们活在世界上,不可能所有人都理解我们,通过牺牲自己获得临时的理解有时也不一定能解决存在的误解,要接受他人的不喜欢,并试着提高自己是面对困境比较好的方法。
空投链接如下,可以再抽40次:
开车慢,不要急,不要斗气,安全第一,用更加平和的心态去面对其他的交通参与者。
我感觉自己有点好为人师:师者所以传道受业解惑也,今天用自己所学帮助 SeeDAO 的一位兄弟解释了前段时间发生针对 Opensea 空投 NFT的钓鱼攻击。
1)攻击者向目标账户空投NFT;
2)攻击者向空投的NFT发起一个高额出价(通常高于1WETH);
3)受害用户出于贪心心理,选择接受攻击者的出价;
4)用户接受出价,需要授权OpenSea交易平台使用其账户内空投的NFT;
5)由于攻击者空投的NFT将授权逻辑进行了改写,授权操作失败;
6)受害用户为了查看授权原因,访问空投NFT的官网,进入攻击者精心布置的签名圈套;
7)钓鱼页面会扫描所有用户授权允许Opensea使用(售卖)的NFT;
8)钓鱼站点根据Opensea挂售NFT的签名逻辑(开源),构造签名数据并诱导用户签署;
9)验证用户签名的合约为Opensea官方开发的智能合约Seaport,只是签名的数据是通过钓鱼站点向用户发起的,待签名数据已被攻击者篡改;
10)一但用户签名对应数据,其持有的NFT将以0ETH或低价价格在OpenSea挂单售卖;
11)攻击者使用脚本,快速购买受害用户的以0ETH或低价价格挂售的NFT;
12)用户发觉资产丢失。
https://mp.weixin.qq.com/s/kLMUMr1t5dP-96fSKsD2vQ
与自己和解:我们活在世界上,不可能所有人都理解我们,通过牺牲自己获得临时的理解有时也不一定能解决存在的误解,要接受他人的不喜欢,并试着提高自己是面对困境比较好的方法。
空投链接如下,可以再抽40次:
开车慢,不要急,不要斗气,安全第一,用更加平和的心态去面对其他的交通参与者。
我感觉自己有点好为人师:师者所以传道受业解惑也,今天用自己所学帮助 SeeDAO 的一位兄弟解释了前段时间发生针对 Opensea 空投 NFT的钓鱼攻击。
1)攻击者向目标账户空投NFT;
2)攻击者向空投的NFT发起一个高额出价(通常高于1WETH);
3)受害用户出于贪心心理,选择接受攻击者的出价;
4)用户接受出价,需要授权OpenSea交易平台使用其账户内空投的NFT;
5)由于攻击者空投的NFT将授权逻辑进行了改写,授权操作失败;
6)受害用户为了查看授权原因,访问空投NFT的官网,进入攻击者精心布置的签名圈套;
7)钓鱼页面会扫描所有用户授权允许Opensea使用(售卖)的NFT;
8)钓鱼站点根据Opensea挂售NFT的签名逻辑(开源),构造签名数据并诱导用户签署;
9)验证用户签名的合约为Opensea官方开发的智能合约Seaport,只是签名的数据是通过钓鱼站点向用户发起的,待签名数据已被攻击者篡改;
10)一但用户签名对应数据,其持有的NFT将以0ETH或低价价格在OpenSea挂单售卖;
11)攻击者使用脚本,快速购买受害用户的以0ETH或低价价格挂售的NFT;
12)用户发觉资产丢失。
<100 subscribers
<100 subscribers
No activity yet