美國時間2022年2月19日（北京時間2月20日），OpenSea使用者（https：//twitter。com/jon_hq/status/1495194178355011586？s=21）開始注意到OpenSea平臺上的一些奇怪交易。似乎一個攻擊者正在使用舊智慧合約與OpenSea更新的合約進行互動，並竊取了價值數百萬美元的NFT。我們迅速核實了這些交易確實非NFT所有者所為。在發表文章時，攻擊者已經從一些不同的使用者那裡竊取了幾個世界上最受歡迎的——也是最昂貴的——NFT。

推特使用者Jon_HQ推文截圖

如果你為此擔心並想保護自己的NFT資產，你可以在這裡取消平臺對你的NFT收藏的訪問權（https：//etherscan。io/tokenapprovalchecker）。

最終，被盜的NFT包括四個Azukis，兩個Coolmans，兩個Doodles，兩個KaijuKings，一個Mutant Ape Yacht Club（MAYC），一個Cool Cat，和一個Bored Ape Yacht Club（BAYC）。然後，攻擊者迅速將偷來的NFT出售給其他使用者，以獲利。到目前為止，該攻擊者已經出售了超過170萬美元的被盜NFT。

編者注：在發表本文時，攻擊者已經出售了70萬美元的被盜NFTs。僅僅二十分鐘後，這個數字上升到170萬美元。然而，被盜的NFT資產的總額似乎高出了數百萬美元。

此舉似乎不是由一個普遍的智慧合約漏洞引起的。而是一個潛在的網路釣魚攻擊。駭客似乎在使用一個30天前部署的輔助合約來呼叫一個四年多前部署的作業系統合約，並使用有效的atomicMatch資料（對於那些有興趣瞭解完整技術細節的人，這裡有更詳細的概述https：//twitter。com/Nesotual/status/1495223117450551300）。

在使用者最初注意到該活動半小時後釋出的推文中，OpenSea證實了這一傳言，稱該事件似乎是源於OpenSea網站之外的網路釣魚攻擊。在帖子中，該公司敦促使用者不要點選官方網站以外的任何連結。

幾個小時後，在美國東部時間晚上11點，OpenSea聯合創始人兼執行長Devin Finzer在Twitter上澄清了到底發生了什麼。Finzer重申，根據內部調查，這是一次網路釣魚攻擊，他說至少有32名使用者簽署了攻擊者的惡意有效載荷。除此之外，他指出，公司仍在尋找漏洞問題。“他說：”我們不清楚最近有哪些釣魚郵件被攻擊者群發給了Opensea的使用者，目前我們還在分析到底是什麼網站在欺詐使用者，讓他們簽署惡意合約。

一箇舊的錯誤和新的更新相碰撞

攻擊者的交易截圖

OpenSea在前一天，即2022年2月18日剛剛釋出了新的智慧合約升級。

在宣佈升級的官方宣告中，該公司表示，它的目的是刪除平臺上不活躍列表。“這個新的升級將確保以太坊上舊的、不活躍的列表安全地過期，並允許我們在未來提供新的安全功能，”他們說。因為升級，所有OpenSea使用者都被要求將他們的NFT列表遷移到新的智慧合約。

不幸的是，這已經不是第一次出現這樣的問題了。事實上，這次最新的更新正是因為要修復之前的一個bug，這個bug也讓使用者損失了他們的錢和NFTs。

2022年1月，OpenSea上的一個漏洞使攻擊者能夠以遠遠低於其實際價值的價格購買安全的NFT。這個漏洞最初是在2021年12月31日前後發現的，它允許攻擊者以較低的舊價格進行購買。ZenGo加密貨幣錢包的首席技術官Tal Be‘ery指出，BAYC系列的一個NFT被列在其2021年7月的價格下，只有23個以太坊。在以這個價格購買後，攻擊者能夠以135個以太坊的價格出售。

按照今天的標準，這對攻擊者來說是接近30萬美元的利潤，而對不幸的賣家來說，這導致了巨大的損失。

這個錯誤最終是由於OpenSea的平臺與以太坊區塊鏈互動的方式而產生的。分開來看，該平臺經常透過在本地列出報價，而不是將其編碼到更廣泛的鏈上，來節省汽油費。然而，系統中的一個錯誤允許舊的合約留在區塊鏈上而不出現在OpenSea中。許多合約是多年前的。透過對這些合約進行報價，攻擊者就理所當然的可以利用過時的價格掃貨。

OpenSea確實迴應了這個問題，併為使用者提供了某種程度的退款。不幸的是，許多人對他們的提議感到不滿意。

具有諷刺意味的是，最新的升級是為了修復這個確切的錯誤。OpenSea澄清說，新系統的目的是允許個人取消所有未完成的合約，同時只產生最小的汽油費。然而，這似乎給一些遭受網路釣魚攻擊的使用者帶來了更多問題。

我們聯絡了OpenSea，但他們沒有立即迴應評論請求。我們將根據收到的任何迴應更新這篇文章。這是一個發展中的故事，一旦有新的資訊出現，我們將及時更新。