來自 OpenSea 用戶的數百萬美元 NFT 網絡釣魚
在不可替代代幣大受歡迎之後,任何人都不會感到意外,一名惡意行為者在一次適時的網絡釣魚攻擊中成功地從 OpenSea NFT 市場的用戶那裡竊取了價值約 200 萬美元的 NFT。
OpenSea 自稱是世界上最大的 NFT 市場。該平台為交換不可替代的代幣或 NFT 提供了點對點市場。該平台正在開始更新過程,以處理不活躍的代幣列表。此更新需要用戶操作和合同遷移,因此 OpenSea 向用戶發送了詳細說明,解釋了部分用戶需要執行的操作。
適時進行網絡釣魚
然而,網絡釣魚攻擊背後的威脅行為者行動迅速,並向 OpenSea 用戶發送了網絡釣魚電子郵件。誘餌經過定制,看起來與 OpenSea 平台發送的原始消息幾乎相同,但網絡釣魚電子郵件中包含惡意鏈接。
壞鏈接將受害者重定向到一個經過專門修改的網絡釣魚頁面,該頁面看起來與 OpenSea 使用的頁面幾乎相同,但該惡意頁面還告訴用戶啟用“智能合約數據”和“盲簽名”——官方沒有的文本OpenSea 頁面。
攻擊者有備而來
網絡釣魚活動背後的攻擊者在攻擊前大約一個月簽訂了合同。一旦受害者在網絡釣魚頁面上簽署了惡意交易,他們就會向威脅參與者的合約發送 atomicMatch_ 請求。只有在滿足交換的所有參數時,OpenSea 才會使用 atomicMatch_ 請求來授權交易。
根據 Check Point 的網絡安全團隊發布了一篇關於此次攻擊的帖子,威脅者設法迅速轉售了在攻擊中被盜的 NFT,並在此過程中賺取了約 200 萬美元。
這種攻擊僅表明,提供更多以財務為導向的數字場所,也將向威脅參與者提供更多的攻擊面和攻擊向量。人們幾乎會認為任何處理 NFT 的人都足夠精通技術以發現壞鏈接和網絡釣魚電子郵件,但看到價值 200 萬美元的 NFT 是如何被盜的,情況似乎並非如此。