OpenSea钓鱼攻击事件警示：三个安全教训慎勿忽视

原文作者：Daniel Chong，Harpie联合创始人

原文编译：杨树

2月19日，进犯者使用了看似「毫无技巧」的电子邮件网络垂钓进犯，成功从一名OpenSea用户手中盗走了254个NFT，其中包括价值不菲的Decentraland和BoredApeYachtClub系列藏品。这位用户收到了伪造的电子邮件并被要求同意智能合约，而在用户同意了合约之后，黑客顺利地从被垂钓用户的钱包中提走了NFT。

发送给用户的仿冒网站电子邮件

到目前为止，网络垂钓是人们在Web2和Web3中损失资金的最常见方式，不过在Web3中，因为智能合约的额外风险点，所以问题更严重。

咱们必须从OpenSea网络垂钓进犯中吸取三个主要的安全经验，以便对未来的进犯保持警惕。

1. 通过智能合约盗取加密货币（十分）简单

大多数DeFi协议使用的经典Approval合约「Approval」简直是所有基于智能合约的代币的功能，当用户「Approval」另一个钱包时，就意味着答应该钱包稍后从用户自己的钱包中转移代币。例如，假如我「Approval」我「0x123」钱包的USDC和无聊猿NFT，那「0x123」就可以将这些代币转出。大多数DeFi协议（包括OpenSea）都使用「Approval」是指一种诱骗用户同意黑客地址的行为。只需单击MetaMask窗口中的一个按钮，用户就可以将资金的彻底访问权限授予黑客，而这正是此次OpenSea网络垂钓期间发生的工作。

2. 很难判别何时被智能合约网络垂钓

你能看出区别吗？
电子邮件网络垂钓是大多数人不再忧虑的工作：现代垃圾邮件过滤器和多年的经验使电子邮件网络垂钓关于大多数精明的用户来说已成为过去。相比之下，Web3存在一些应战，使得从惯例合约中辨认网络垂钓合约变得愈加困难。在上面示例的顶部，会看到签名时使用的网站URL并不相同：左侧是「uniswap.org」，右侧是「unLswap.org」。假如用户没有捉住简单忽略的细节并签署合约，对不起，这样就会丢失钱包中的所有USDC。虽然网站URL欺骗是一种经典的网络垂钓战略，但是当履行黑客进犯时唯一需求的仅仅按下同意按钮时，它的危害就会变得很大。

3. 严重缺乏为加密用户构建的反网络垂钓技能

Gmail的自动垃圾邮件过滤器，每天可保护数百万人免受网络违法的侵害。也许反网络垂钓技能的最大比如是垃圾邮件过滤器：它已成为互联网上常常被忽视的重要基石。也正因为垃圾邮件过滤器会自动检测简直所有的网络垂钓进犯，因而Web2网络垂钓进犯现已失去了大部分效力。但是，在Web3中，简直没有任何保护措施来防止用户意外地从「unlswap.org」或「sushl.com」同意合约，咱们有责任仔细观察，然后保证永远不会犯错误。因为网络垂钓诈骗通常很简单避免，因而在现代互联网中长大的人，往往会轻视网络垂钓诈骗的有效性以及那些被网络垂钓诈骗的人。实际上，因为易于履行和出资回报，网络垂钓诈骗仍然是最常见的网络违法类型。为了躲避加密中的网络垂钓，开发人员社区需求联合起来开发软件，使网络垂钓者更难盗取资金。

OpenSea这些大型加密项目或许成为网络垂钓进犯的方针。DeathStar提出的防范网络垂钓进犯的新思路。而在不久前刚刚结束的EthDenver2022上，一个名为DeathStar的项目锋芒毕露，该项目旨在通过开源良性flashbots来处理网络垂钓问题。这些flashbots可在资金从钱包中转出时进行检测，一旦检测到资金是转移到不受信任的地址时，MEV领跑者就会当即以两倍Gas费发送一个交易，把用户的所有财物转移到备用地址。（NPM包管理工具行将推出）。我提到这一点仅仅为了鼓舞其他开发人员继续考虑其他方法来阻挠网络垂钓进犯。

尽管网络垂钓进犯和诈骗具有简单而不成熟的内涵，但成为它们牺牲品的危险是十分真实的。因为Web3如此年轻，因而在Web3生态里建立起更好的保护措施来对立它们之前，与网络垂钓面对面将是司空见惯的工作。每一次成功的圈套背面，都会有一个用户停止使用Web3，而Web3生态在没有任何新用户的情况下，将无处可去。

此时快讯

【Memeland：“复制”功能并非Bug；Traitables协议和TraitStore即将推出】7月2日消息，Memeland发推称，今日已经举行Townhall会议“The Captainz开图& AMA”，主要内容如下：
1. 正在打造下一代“智能PFP”；
2. 今天推出“Starter Model（新手模式）”。
3. Traitables Protocol和TraitStore即将推出。
4. 品牌、创作者和其他NFT系列的可交换和可交易特征即将推出。
5.“复制（Duplicate）”是特意提供的发布策略和功能，而不是一个Bug。
6. Captainz = 特许权所有者。
据今日报道，Blur数据显示，Memeland船长系列The Captainz NFT已于昨日开图，地板价现为4.85 ETH，24小时降幅为23.62%，或因开图后未达到用户预期。
此前根据官方介绍，The Captainz持有者可以选择性别、肤色类型、特征，报告特征错误并获得赏金，创造并销售特征作为官方特征的一部分，以所有者的身份帮助扩展Memeland生态系统。