來自 OpenSea 用戶的數百萬美元 NFT 網絡釣魚

在不可替代代幣大受歡迎之後，任何人都不會感到意外，一名惡意行為者在一次適時的網絡釣魚攻擊中成功地從 OpenSea NFT 市場的用戶那裡竊取了價值約 200 萬美元的 NFT。

OpenSea 自稱是世界上最大的 NFT 市場。該平台為交換不可替代的代幣或 NFT 提供了點對點市場。該平台正在開始更新過程，以處理不活躍的代幣列表。此更新需要用戶操作和合同遷移，因此 OpenSea 向用戶發送了詳細說明，解釋了部分用戶需要執行的操作。

適時進行網絡釣魚

然而，網絡釣魚攻擊背後的威脅行為者行動迅速，並向 OpenSea 用戶發送了網絡釣魚電子郵件。誘餌經過定制，看起來與 OpenSea 平台發送的原始消息幾乎相同，但網絡釣魚電子郵件中包含惡意鏈接。

壞鏈接將受害者重定向到一個經過專門修改的網絡釣魚頁面，該頁面看起來與 OpenSea 使用的頁面幾乎相同，但該惡意頁面還告訴用戶啟用“智能合約數據”和“盲簽名”——官方沒有的文本OpenSea 頁面。

攻擊者有備而來

網絡釣魚活動背後的攻擊者在攻擊前大約一個月簽訂了合同。一旦受害者在網絡釣魚頁面上簽署了惡意交易，他們就會向威脅參與者的合約發送 atomicMatch_ 請求。只有在滿足交換的所有參數時，OpenSea 才會使用 atomicMatch_ 請求來授權交易。

根據 Check Point 的網絡安全團隊發布了一篇關於此次攻擊的帖子，威脅者設法迅速轉售了在攻擊中被盜的 NFT，並在此過程中賺取了約 200 萬美元。

這種攻擊僅表明，提供更多以財務為導向的數字場所，也將向威脅參與者提供更多的攻擊面和攻擊向量。人們幾乎會認為任何處理 NFT 的人都足夠精通技術以發現壞鏈接和網絡釣魚電子郵件，但看到價值 200 萬美元的 NFT 是如何被盜的，情況似乎並非如此。