Twitter用户爆料：NFT交易市场Rarible或存在授权合约风险

10月28日消息，浏览器安全插件 Pocket Universe 发推称，Opensea 旧合约上发现一个新漏洞，可用于窃取用户的 NFT，一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前在 Opensea 上列出的任何 NFT（也即 Seaport 升级之前），主要涉及 Wyvern 协议，它授予了代理合约撤回用户 NFT 的权利，而这个新的漏洞利用会诱使用户签署交易，让攻击者拥有用户的代理合约的所有权。

据官方消息，Solana发布8月2日Slope钱包事件更新：从UTC时间2022年8月2日22:37开始并持续约4小时，一个或多个恶意攻击者盗取了9231个钱包中共计价值约410万美元的资产。链上交易显示，受影响钱包的私钥已被泄露，并被用于签署恶意交易。 在开发人员、分析公司和安全审计员的调查中，受影响的地址似乎曾在iOS和Android上的Slope钱包应用程序（由Slope Finance创建和发布）中创建、导入或使用。这些Slope用户的私钥资料被Slope无意中传输到应用程序监控服务，但黑客获取或截获这些信息的途径仍在调查中。 此次攻击没有涉及与Solana Labs、Solana基金会或任何与Solana协议本身相关的核心代码，这不是协议级别的漏洞。 这一漏洞似乎孤立于支持Solana和以太坊地址的一个钱包提供商，但其他软件钱包（如Phantom和Solflare）上受影响的用户可能是用户重复使用在Slope中生成或存储的助记词的结果。 目前官方认为这不是与Slope以外的任何特定钱包实现直接相关的问题。由于以太坊和Solana都使用BIP39助记符，因此对使用以太坊钱包用户的任何影响也可能是由于重复使用了助记词。 无论是否使用Slope的硬件钱包没有受到影响，任何从助记词生成的从未被导入（或被Slope钱包使用）的钱包都没有受到影响。然而，用户只要将他们的助记词导入Slope应用程序，就有受攻击的风险。 Solana官方强调，Slope钱包用户或者之前曾将助记词导入Slope的设备，即使没有资产被转移，钱包也可能会被盗用。因此建议： - 在另一个钱包应用程序中生成一个新的助记词； - 将所有资产（代币和NFT）转移到这个新钱包； - 放弃旧地址，因为它可能会受到攻击。 用户不应该重复使用以前在Slope移动应用中使用过的助记词衍生的钱包。

金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。 截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。

8月2日消息，据@0xfoobar发推称，跨链互操作性协议Nomad桥正在被黑客攻击，WETH和WBTC正以每次百万美元的频次转出，合约中仍有1.26亿美元可能存在风险。提醒用户尽快提取资金。最近的一次就有1万枚以太坊（约合1600万美元）转出，Nomad桥还有8000万美元的USDC正在流出。

金色财经报道，NFT 交易市场 Rarible 将市场构建器扩展至 Polygon 网络，在 Polygon 上铸造 NFT 的创作者可以免费创建自己的特定 NFT 系列品牌，还可以利用该平台的原生聚合工具涵盖在其他二级市场上市的NFT。

10月6日消息，安全机构GoPlus与慢雾提出可限时授权的EIP标准，以降低遗留授权导致的被盗风险。标准中提到，包括TransitSwap事件在内，反复发生的资产盗窃是由于用户对合约的过度授权造成的，如果合约出错，所有没有召回授权的用户都会受到攻击。 GoPlus与慢雾提出的解决方案可以为ERC-20Token设置Approv，以在默认时间段内自动撤回授权，或者使用自定义的时间限制来召回授权并及时避免风险，并提交了一份新的EIP，目前正在由以太坊研究部门审查。