全球最大 NFT 市場 OpenSea 在美國東岸時間 2 月 19 日公布用戶遭受釣魚攻擊,有時值約 171 萬美元的 NFT 失竊。 OpenSea 在網站頂貼出告示,提示用戶必須確認網址是 https://opensea.io/ 。
OpenSea 早前在網站貼出公告,表示正在調查有傳聞指出指向 OpenSea 以外網站的釣魚攻擊,並要求用戶不要點擊連到 opensea.io 以外的連結。當日晚上, OpenSea CEO Devin Finzer 透過 Twitter 表示有 32 名用戶在這次攻擊中在惡意內容 (payload) 中署名,導致部分 NFT 被偷走,並指出該攻擊不是源自 opensea.io 。
有用戶就在 Twitter 貼出所收到的懷疑釣魚電郵,電郵設計非常精巧工整。電郵表示用戶可以將自己的以太幣放盤遷移到新的智能合約,並表示免燃料費。事實上, OpenSea 確實在 日前預告會在 2 月 18 日進行合約升級,歹徒就是乘著這個機會散佈釣魚電郵,在電郵中加上一個指到惡意網站的按鈕,用戶不虞有詐就被引導到惡意網站。
諷刺的是這次合約升級的目的,其實就是為了防止用戶不小心署名。
事件後根據專門檢索以太幣交易的 Etherscan 紀錄顯示,代號為 Fake_Phishing5169 的攻擊者賬戶,結餘曾一度有 641 個以太幣,現價約為 $170.5 萬美元,即約 $1,330 萬港元,其後有部分 NFT 已被出售。
雖然今次釣魚攻擊源頭不是來自 OpenSea ,不過 OpenSea CTO Nadav Hollander 就表示會聯絡受害者跟進。