来自 OpenSea 用户的数百万美元 NFT 网络钓鱼

在不可替代代币大受欢迎之后，任何人都不会感到意外，一名恶意行为者在一次适时的网络钓鱼攻击中成功地从 OpenSea NFT 市场的用户那里窃取了价值约 200 万美元的 NFT。

OpenSea 自称是世界上最大的 NFT 市场。该平台为交换不可替代的代币或 NFT 提供了点对点市场。该平台正在开始更新过程，以处理不活跃的代币列表。此更新需要用户操作和合同迁移，因此 OpenSea 向用户发送了详细说明，解释了部分用户需要执行的操作。

适时进行网络钓鱼

然而，网络钓鱼攻击背后的威胁行为者行动迅速，并向 OpenSea 用户发送了网络钓鱼电子邮件。诱饵经过定制，看起来与 OpenSea 平台发送的原始消息几乎相同，但网络钓鱼电子邮件中包含恶意链接。

坏链接将受害者重定向到一个经过专门修改的网络钓鱼页面，该页面看起来与 OpenSea 使用的页面几乎相同，但该恶意页面还告诉用户启用“智能合约数据”和“盲签名”——官方没有的文本OpenSea 页面。

攻击者有备而来

网络钓鱼活动背后的攻击者在攻击前大约一个月签订了合同。一旦受害者在网络钓鱼页面上签署了恶意交易，他们就会向威胁参与者的合约发送 atomicMatch_ 请求。只有在满足交换的所有参数时，OpenSea 才会使用 atomicMatch_ 请求来授权交易。

Check Point 的网络安全团队发布了一篇关于此次攻击的帖子，称攻击者设法迅速转售了在攻击中被盗的 NFT，并在此过程中赚取了约 200 万美元。

这种攻击仅表明，提供更多以财务为导向的数字场所，也将向威胁参与者提供更多的攻击面和攻击向量。人们几乎会认为任何处理 NFT 的人都足够精通技术以发现坏链接和网络钓鱼电子邮件，但看到价值 200 万美元的 NFT 是如何被盗的，情况似乎并非如此。