詐欺師はOpenSeaユーザーからNFTで数百万ドルをフィッシングします

数日前、Check Pointのセキュリティ研究者は、OpenSeaユーザーを標的としたフィッシング攻撃の詳細をブログに投稿し、盗まれたNFTで「数百万」と推定されるものに導きました。

OpenSeaは、自身を「最大のNFTマーケットプレイス」として宣伝し、代替不可能なトークンまたはNFTを交換するためのP2Pマーケットプレイスを提供しています。プラットフォームは、契約の移行を必要とする更新プロセスを経ていました。これの目的は、古いトークンの非アクティブなリストを処理することでした。これにより、ユーザーは、契約をアップグレードできるようにアクションを実行する必要があります。

NFTのフィッシング

OpenSeaチームは、ユーザーが手順を正確に処理し、NFTリストを移行する方法を説明する詳細なガイドをユーザーに送信しました。しかし、攻撃者はこれに気づき、状況を悪用することにしました。

詐欺師はフィッシングメールを送信し、OpenSeaから送信された公式の通信のように見せかけました。メッセージの本文は、正規のOpenSeaメッセージで使用されている元のテキストをコピーします。ただし、詐欺師は代わりにフィッシングページにリンクします。そのページにアクセスすると、被害者は取引フォームに署名するように促されます。もう一度、公式のOpenSeaのものとほぼ同じように見えるように調整および調整されます。ただし、詐欺師のページでは、ユーザーに元帳デバイスを接続し、イーサリアムアプリを選択してから、「スマートコントラクトデータ」と「ブラインド署名」を有効にするように指示しています。このテキストは、NFTプラットフォームからの元のメッセージにありません。

被害者が提供されたトランザクションに署名すると、フィッシング攻撃の約1か月前に作成された攻撃者の契約にリクエストを送信します。リクエスト自体はatomicMatch_と呼ばれ、NFTプラットフォームでの取引で使用されます。チェック・ポイントは、「アトミック」とは、すべてのパラメーターが満たされた場合にのみトランザクションが実行されるという事実を指すと説明しました。

調査チームによると、NFTを盗むために使用されたアカウントは、新たに200万ドル相当の盗まれて転売されたNFTでバブルしたようです。

非代替可能性のラッシュ

NFTは、コンテンツクリエーターやブランドだけでなく、巨大なエンターテインメントやゲーム会社でさえも定期的に実装することに熱心に取り組んでいるところまで、ここ数か月で非常にホットな話題になっています。このトピックは物議を醸すものであり、多くの暗号ファンはNFTを採用していますが、他の多くの人は、NFTは本質的に人々にお金を手放すように説得するための非常に精巧な方法であると考えています。

この最新の事故は、暗号市場や取引所と同様に、NFT市場も脅威アクターの標的となり、ニュースに表示されることを示しています。この種のインフラストラクチャとユーザーベースが拡大するにつれて、攻撃対象領域が大きくなります。脅威アクターも利用できるようになります。