2月19日，攻击者成功从Opensea用户手中偷走了254个NFT，其中包括珍贵的Decentraland和Boredapeyachtclub系列。用户收到伪造的电子邮件并被要求批准智能合同。用户批准合同后，黑客成功从钓鱼用户的钱包中删除了NFT。
用户

假网站电子邮件发送给用户。
到目前为止，网络钓鱼是人们在web2和web3中失去资金的最常见方式。然而，在web3中，由于智能合同的额外风险点，问题更加严重。
为了警惕未来的攻击，我们必须从OpenSea网络钓鱼攻击中吸取三个安全教训。
1.通过智能合同很容易窃取加密货币(非常)。
用户

经典Approval合同典Approval合同。
应用程序roval几乎是基于智能合同的所有代币功能。当用户应用程序roval的另一个钱包时，这意味着允许钱包稍后从用户自己的钱包中转移代币。例如，如果我的应用程序roval和0x123钱包的USDC和无聊猿NFT可以转移这些代币。
大多数defi协议(包括opensea)都使用aproval作为将资产转移到协议中的主要方式。
icephishing是微软创建的一个术语，是指诱导用户批准黑客地址的行为。点击Metamask窗口中的按钮，用户就可以授予黑客完全访问资金的权利，这就是Opensea在线钓鱼过程中发生的事情。
2.智能合约网络何时捕鱼很难判断。
用户

你能看到区别吗？
大多数人不再担心电子邮件在线钓鱼：现代垃圾邮件过滤器和多年的经验使电子邮件在线钓鱼成为大多数聪明用户的过去。
相比之下，Web3面临着一些挑战，使得从常规合同中识别网络钓鱼合同更加困难。
在上述示例的顶部，您可以看到签名时使用的网站URL是不同的：左边是Uniswap.org，右边是Unlswap.org。如果用户没有抓住被忽视的细节并签订合同，对不起，他会失去钱包里所有的USDC。
虽然网站URL欺骗是一种经典的网络钓鱼策略，但实施黑客攻击时唯一需要的下批准按钮将变得非常有害。
3.严重缺乏为加密用户建立的反网络钓鱼技术。
用户

Gmail的自动垃圾邮件过滤器每天可以保护数百万人免受网络犯罪。
也许反网络钓鱼技术最大的例子就是垃圾邮件过滤器:它已经成为互联网上经常被忽视的重要基石。正是因为垃圾邮件过滤器会自动检测几乎所有的网络钓鱼攻击，网络钓鱼攻击失去了大部分效果。
然而，在web3中，nlswap.org或sushl.com批准合同的保护措施很少。我们有责任仔细观察，以确保我们永远不会犯错误。
由于网络钓鱼欺诈通常很容易避免，在现代互联网上长大的人往往鄙视网络钓鱼欺诈和网络钓鱼欺诈的有效性。
事实上，网络钓鱼欺诈仍然是最常见的网络犯罪类型，因为它很容易实施和投资回报。为了避免加密网络钓鱼，开发人员社区需要共同开发软件，使网络渔民更难窃取资金。

用户
OpenSea等大型加密项目可能是鱼类攻击的目标。
提出了防止网络钓鱼攻击的新思路。
2022年刚刚结束的ethdenver，一个名为deathstar的项目脱颖而出，旨在通过开源良性flashbots解决网络钓鱼问题。
当资金从钱包转移时，可以测试这些flashbots。一旦发现资金转移到不可信的地址，MEV领导将立即以两倍的Gas费发送交易，并将用户的所有资产转移到备用地址。（NPM包管理工具即将启动）。我提到这一点只是为了鼓励其他开发人员继续考虑其他方法来防止在线钓鱼攻击。
虽然网络钓鱼攻击和欺诈的内涵简单而不成熟，但成为他们的受害者是非常真实的。在与网络钓鱼面对面对抗之前，在web3生态系统中建立更好的保护措施是很常见的。
在每一个成功的骗局背后，用户都会停止使用Web3，而Web3生态将无处可去，没有新用户。
免责声明：作为区块链信息平台，本网站提供的信息并不代表任何投资暗示。

转载请注明：比特币区块链时代 » OpenSea钓鱼攻击事件得到的启发警惕