诈骗者从 OpenSea 用户手中骗取数百万美元的 NFT

几天前，Check Point 的安全研究人员发表了一篇博客文章，详细介绍了针对 OpenSea 用户的网络钓鱼攻击，并导致研究人员估计“数百万”的 NFT 被盗。

OpenSea 将自己标榜为“最大的 NFT 市场”，提供用于交换不可替代代币或 NFT 的 P2P 市场。该平台正在经历一个需要合同迁移的更新过程。这样做的目的是处理旧代币的非活动列表，这反过来又要求用户采取行动，以便升级他们的合约。

NFT 网络钓鱼

OpenSea 团队向用户发送了一份详细的指南，解释了他们应该如何处理该程序并迁移他们的 NFT 列表。然而，一个威胁演员注意到了这一点，并决定滥用这种情况。

诈骗者发送网络钓鱼电子邮件，经过篡改，看起来像 OpenSea 发出的官方信件。消息的正文复制了合法 OpenSea 消息使用的原始文本。但是，诈骗者会链接到网络钓鱼页面。一旦进入该页面，受害者就会被敦促签署一份交易表格，再次经过定制和修改，使其看起来与官方 OpenSea 几乎完全相同。然而，骗子页面指示用户插入他们的账本设备，选择以太坊应用程序，然后启用“智能合约数据”和“盲签”。 NFT 平台的原始消息中缺少此文本。

一旦受害者签署了所提供的交易，他们就会向攻击者的合约发送一个请求，该合约是在网络钓鱼攻击之前大约一个月创建的。请求本身称为 atomicMatch_，用于 NFT 平台上的交易。 Check Point 解释说，“原子”是指只有在满足所有参数的情况下交易才会生效。

据研究小组称，用于窃取 NFT 的账户似乎出现了价值 200 万美元的被盗和转售的新 NFT。

不可替代的热潮

近几个月来，NFT 已成为一个非常热门的话题，以至于不仅内容创作者和品牌对它们感兴趣，甚至大型娱乐和游戏公司也开始努力定期实施它们。这个话题是有争议的，虽然许多加密爱好者都接受 NFT，但许多其他人认为 NFT 本质上是一种非常复杂的方式来说服人们放弃他们的钱。

这一最新事故仅表明，与加密市场和交易所类似，NFT 市场也将成为威胁参与者的目标，并将出现在新闻中，随着此类基础设施和用户群的增长，攻击面越大威胁行为者也可以使用。