全球最大NFT交易平台OpenSea

Posted 2023-04-04 西京刀客

文章目录

• 全球最大NFT交易平台OpenSea
• • 背景
  • 什么是OpenSea
  • 发展历史
  • OpenSea都支持哪些公链
• 参考

全球最大NFT交易平台OpenSea

背景

Ethereum上NFT销售额在2021年已超过90亿美元，比2020年的总销售额增长了2500%。2021年作为NFT元年，同时出现在牛市周期的背景下，NFT市场的规模呈现惊人的增长趋势，市值超百亿美金。

在这个庞大的市场中，有一家公司独占98%的份额，它就是OpenSea。OpenSea是目前全球最大的综合NFT交易平台，用户可以在平台上铸造、展示、交易、拍卖NFT。

什么是OpenSea

官网：https://opensea.io/
github：https://github.com/ProjectOpenSea

A marketplace for the decentralized web

Opensea是一个NFT交易平台，由毕业于布朗大学的Devin Finzer和毕业于斯坦福大学Alex创立。

自 2017 年成立以来，这家NFT的交易平台已发展为该领域无可争议的领导者，从一家不太起眼的初创公司，到估值超过 100 亿美元的独角兽，OpenSea 只用了短短四年时间。

OpenSea的联合创始人Alex Atallah（左）和Devin Finzer（右）

Devin Finzer在在旧金山湾区长大，母亲是医生，父亲是软件工程师。他说，被哈佛、斯坦福、普林斯顿和耶鲁大学拒之门外的经历曾让自己“备受打击”。（他最终选择了布朗大学。）在Pinterest做了一段时间的软件工程师后，Devin Finzer在2015年与他人合伙创建了自己的第一家公司Claimdog，并在一年后将其出售给Credit Karma。

Alex Atallah则是在科罗拉多州出生的伊朗移民的儿子，他在孩提时代就会通过制作电子表格来比较从鸟类到浏览器等一切事物的属性。从斯坦福大学毕业后，Alex Atallah在与Devin Finzer合作之前曾做过一段时间的程序员。

发展历史

NFT 市场霸主 OpenSea 是如何崛起的？
参考URL: http://www.myzaker.com/article/62fee8e18e9f0918054ced68/

2017 年 12 月，Devin Finzer 与 Alex Atallah 一起创立了 OpenSea。

2018 年，OpenSea 获得来自 Y Combinator 的 12 万美元种子轮投资。

2018 年 2 月，OpenSea 在 Product Hunt 上发布，OpenSea 将自己描述为 " 加密商品的 Ebay"。

2019 年 11 月，OpenSea 获得 Foundation Capital、The Chernin Group 等机构的 210 万美元投天使轮资。

2020年3月，随着新冠疫情的蔓延，OpenSea创始人Devin Finzer和Alex Atallah举行了一次破釜沉舟般的电话会议。之前，他们搭建了一个平台，让用户可以在上面创造、购买和出售各种NFT。然而在上线26个月后，活跃用户仅有4,000名，每月的交易额也徘徊在110万美元。考虑到OpenSea在每笔交易中收取2.5%的佣金，这意味着公司每月的收入只有区区2.8万美元。

首席技术官Alex Atallah回忆道，当时的NFT市场有一种“死气沉沉”的感觉。

OpenSea 在创建前期并没有太大的动作，一直专注于建立完善自己的平台。当然，这一切在 2021 年发生了变化。

2021年2月，NFT市场从冬眠中苏醒，并开始变得狂热起来。

2021 年 3 月，OpenSea 的用户数开始呈现爆发式增长，从 1.5 万涨至 4.87 万，涨幅高达 224%。单月成交量首次突破 1 亿美元，达到了 1.47 亿美元。

2021 年 3 月，OpenSea 获得 A16z 领投的 2300 万美元 A 轮融资。

有几个主要因素，包括 NBA Top Shot 的日益流行，Beeple 的里程碑式销售，以及 CryptoPunks 和 Bored Ape 游艇俱乐部的成功。

2022 年 1 月 10 日，OpenSea 平台的当月交易量已经达到 21 亿美元。而在此前 OpenSea 的最高月交易量纪录为 2021 年 8 月创下的 35 亿美元。

2021 年成交额占比一度超过 95%，并且随着 NFT 的破圈，平台获得了大量融资，积累了海量用户和知名度。

OpenSea都支持哪些公链

OpenSea支持的主要区块链是以太坊，如果你想在OpenSea上切换到不同的区块链，你可以通过从侧边栏中选择相关的Chain”来过滤搜索结果。

Ethereum(以太坊)
Polygon
Klaytn
Solana

参考

OpenSea，NFT市场之王
参考URL: https://baijiahao.baidu.com/s?id=1717384319538206107

钓鱼攻击威胁NFT资产安全

全球最大的NFT交易平台OpenSea快速修复了一个威胁用户NFT资产安全的漏洞。此前，有用户在社交媒体推特上称，他们经该OpenSea获得免费空投的NFT后，加密钱包里的资产被盗走。

区块链安全公司Check Point Research正是从受害者那获得了漏洞线索，研究人员调查发现，OpenSea上存在安全漏洞，黑客可能利用漏洞发送恶意NFT以劫持用户的OpenSea账户并窃取他们的加密钱包。

全球最大的NFT交易平台OpenSea快速修复了一个威胁用户NFT资产安全的漏洞。此前，有用户在社交媒体推特上称，他们在获得免费空投的NFT后，加密钱包里的资产被盗走了。

区块链安全公司Check Point Research正是从受害者那获得了漏洞线索，研究人员调查发现，OpenSea上存在安全漏洞，黑客可能利用漏洞发送恶意NFT以劫持用户的OpenSea账户并窃取他们的加密钱包。

该安全公司向OpenSea报告了漏洞，双方在9月底就联手修复了这一漏洞，安全事件隔了20多天才得以对外公布，OpenSea专门开辟了一个博客向用户普及去中心化网络安全常识。

从漏洞及攻击方式看，这是一起典型的「钓鱼攻击」，这种攻击在互联网世界并不陌生，但经过多年的安全实践，互联网已经对此构建起一定的防御手段，用户也有了防御意识。但在新兴的去中心化网络区块链上，「钓鱼」这种古老的攻击的方式仍在横行，并蔓延到了NFT资产领域，它利用的恰恰是用户对区块链基础设施的陌生感。

用户在OpenSea接收NFT空投后钱包被盗

网友在推特上倾诉的加密资产被盗事件引起了区块链安全公司Check Point Research（以下简称CPR）的注意。这些加密资产被盗事件有个共同的引子——用户接收了免费的NFT空投后，钱包被洗劫。

「当我们在网上看到有关被盗加密钱包的传闻时，我们对 OpenSea 产生了兴趣。我们推测， OpenSea 周围存在一种攻击方法，因此我们对它进行了彻底调查。」CPR的产品漏洞研究主管 Oded Vanunu 回忆了一个月前的研究经历。

在与受害用户取得联系并详细询问后，CPR识别出OpenSea上存在的关键漏洞，证明恶意NFT投放者可利用漏洞劫持用户的OpenSea账户并窃取用户的加密钱包。

用户在查看恶意NFT 时可能会看到的确认选择

CPR推导出利用漏洞的步骤——黑客创建恶意NFT并将其赠送给目标受害者；受害者查看恶意NFT后，OpenSea的存储域会触发弹出窗口(此类弹窗在该平台的各种活动中很常见)，请求连接到受害者的加密资产钱包上；受害者如果为了获得这些「免费的NFT」与之交互，就要点击「连接钱包」，一旦此操作执行，黑客就获得了访问受害者钱包的权限；利用触发其他弹窗这一方式，黑客就可以不断窃取用户钱包中的资产。

由于这些弹窗是从OpenSea的存储域发出的，因此CPR也就锁定了该平台的漏洞源头。如果用户没有注意到描述交易的弹窗中的注释，他们很可能点击弹窗，最终导致整个加密钱包被盗。

CPR识别并推导出了漏洞及利用路径，但OpenSea在后续针对此漏洞的声明中称，无法确定任何利用此漏洞的实例。

CPR表示，9月26日，他们向OpenSea披露了调查结果，对方响应迅速并共享了包含来自其存储域的 iframe 对象的 svg 文件，因此CPR 可以一起审查并确保关闭所有攻击媒介。在不到1个小时时间里，OpenSea修复了该漏洞并验证了修复。

OpenSea的声明显示，这些攻击依赖于用户通过第三方钱包为恶意交易提供签名来批准恶意活动，修复漏洞后，他们已经与和平台集成的第三方钱包直接协调，以帮助用户更好地识别恶意签名请求，以及帮助用户阻止诈骗和网络钓鱼的举措攻击。「我们还围绕安全最佳实践加倍进行社区教育，并启动了一个关于如何在去中心化网络上保持安全的博客系列。我们鼓励新用户和经验丰富的老手阅读该系列。我们的目标是让社区能够检测、减轻和报告区块链生态系统中的攻击，例如 CPR 所展示的攻击。」

别将钱包轻易与陌生网址相连

这已经不是第一起发生在NFT资产领域的安全事件，受害者也不仅是普通用户，但更集中在普通用户群体中，因为无论是平台还是项目方的的NFT资产被盗，都会影响到普通用户的收益。

仅今年3月就发生了两期知名度较高的NFT资产被盗事件。

先是3月15日，社交NFT代币平台Roll的热钱包被盗，黑客从中盗取了部分WHALE和 SKULL等NFT社交代币，其中部分资金随后被转移到交易混合器Tornado。据分析称，攻击者在此过程中净赚了约570万美元的ETH。受影响的社交代币价格大幅下跌。

紧接着的3月17日，NFT交易市场Nifty Gateway的数名用户遭遇了账号被盗，有受害者称，黑客从其帐户中窃取了价值数千美元的数字艺术品；其他被黑客入侵的用户称，他们存档的信用卡被用来购买额外的NFT。Nifty Gateway后续的声明中提到，遭遇盗号的账户因没有启用双因素认证（采用两种信息来认证本人身份，一般是采用的密码和动态口令的组合），而黑客通过有效账号的认证信息获得了访问权限。

在非同质化代币NFT越来越多的与收藏品、有价值的加密资产相连时，黑客的罪恶之手正在伸向NFT持有者的钱包，这也再次反映了NFT依托的区块链网络安全性的脆弱。

有经验的用户曾总结过NFT的攻击向量，比如，黑客对你的电脑植入木马病毒文件，盗取你的登录信息和其他资料；或者通过恶意软件记录键盘输入，窃取你的密码；抑或通过恶意软件来获取屏幕截图，从而获得敏感信息；黑客还可能通过劫持DNS，创建钓鱼页面，骗取用户钱包的助记词。

这样看下来，这些攻击手段与黑客攻击互联网时所用的方式并无多大差异，但在互联网应用上，用户已经从自己或别人的经验中获得了一些防御意识，比如，不随便点开陌生链接。但在使用区块链网络和加密钱包时，一些用户变成了「常识归零」的状态，这与用户对加密资产及区块链基础的陌生感有关，也再次说明区块链基建在普及层面的不成熟。

普通用户似乎只能从一起起的安全事故中去学习防范技能，普及安全常识也成为加密社区致力做的工作之一。

NFT创作者和收藏家Justin Ouellette就曾在推特上科普过NFT资产的保护措施，「不要在多个平台上重复使用相同相同的密码；要学会启用双因素认证；要小心那些最小化元蒙版UI的网站（往往是钓鱼网站和木马软件）；不要透露你的助记词给任何人。」

资产被盗还仅仅是NFT安全的一个层面。近期，华中科技大学区块链存储研究中心和 HashKey Capital Research对NFT的研究报告显示，NFT 系统是由区块链、存储和网络应用集合而成的技术，其安全保障具有一定的挑战性，每一个组成部分都有可能成为安全的短板，致使整个系统受到攻击，仿冒（Spooling）、篡改（Tampering）、抵赖（Repudiation）、信息泄露（Information Disclosure）、拒绝服务（Dos）和权限提升（Elevation of privilege）等方面都是NFT系统存在的风险可能。

在安全之路上，NFT要走的道路还很远。