来自 OpenSea 用户的数百万美元 NFT 网络钓鱼
在不可替代代币大受欢迎之后,任何人都不会感到意外,一名恶意行为者在一次适时的网络钓鱼攻击中成功地从 OpenSea NFT 市场的用户那里窃取了价值约 200 万美元的 NFT。
OpenSea 自称是世界上最大的 NFT 市场。该平台为交换不可替代的代币或 NFT 提供了点对点市场。该平台正在开始更新过程,以处理不活跃的代币列表。此更新需要用户操作和合同迁移,因此 OpenSea 向用户发送了详细说明,解释了部分用户需要执行的操作。
适时进行网络钓鱼
然而,网络钓鱼攻击背后的威胁行为者行动迅速,并向 OpenSea 用户发送了网络钓鱼电子邮件。诱饵经过定制,看起来与 OpenSea 平台发送的原始消息几乎相同,但网络钓鱼电子邮件中包含恶意链接。
坏链接将受害者重定向到一个经过专门修改的网络钓鱼页面,该页面看起来与 OpenSea 使用的页面几乎相同,但该恶意页面还告诉用户启用“智能合约数据”和“盲签名”——官方没有的文本OpenSea 页面。
攻击者有备而来
网络钓鱼活动背后的攻击者在攻击前大约一个月签订了合同。一旦受害者在网络钓鱼页面上签署了恶意交易,他们就会向威胁参与者的合约发送 atomicMatch_ 请求。只有在满足交换的所有参数时,OpenSea 才会使用 atomicMatch_ 请求来授权交易。
Check Point 的网络安全团队发布了一篇关于此次攻击的帖子,称攻击者设法迅速转售了在攻击中被盗的 NFT,并在此过程中赚取了约 200 万美元。
这种攻击仅表明,提供更多以财务为导向的数字场所,也将向威胁参与者提供更多的攻击面和攻击向量。人们几乎会认为任何处理 NFT 的人都足够精通技术以发现坏链接和网络钓鱼电子邮件,但看到价值 200 万美元的 NFT 是如何被盗的,情况似乎并非如此。