詐騙者從 OpenSea 用戶手中騙取數百萬美元的 NFT

幾天前，Check Point 的安全研究人員發表了一篇博客文章，詳細介紹了針對 OpenSea 用戶的網絡釣魚攻擊，並導致研究人員估計“數百萬”的 NFT 被盜。

OpenSea 將自己標榜為“最大的 NFT 市場”，提供用於交換不可替代代幣或 NFT 的 P2P 市場。該平台正在經歷一個需要合同遷移的更新過程。這樣做的目的是處理舊代幣的不活躍列表，這反過來又要求用戶採取行動，以便升級他們的合約。

NFT 網絡釣魚

OpenSea 團隊向用戶發送了一份詳細指南，解釋了他們應該如何處理該程序並遷移他們的 NFT 列表。然而，一個威脅演員注意到了這一點，並決定濫用這種情況。

詐騙者發送網絡釣魚電子郵件，經過篡改，看起來像 OpenSea 發出的官方信件。消息的正文複製了合法 OpenSea 消息使用的原始文本。但是，詐騙者會鏈接到網絡釣魚頁面。一旦進入該頁面，受害者就會被敦促簽署一份交易表格，再次進行定制和修改，使其看起來與官方 OpenSea 幾乎完全相同。然而，詐騙者頁面指示用戶插入他們的賬本設備，選擇以太坊應用程序，然後啟用“智能合約數據”和“盲簽”。 NFT 平台的原始消息中缺少此文本。

一旦受害者簽署了所提供的交易，他們就會向攻擊者的合約發送一個請求，該合約是在網絡釣魚攻擊前大約一個月創建的。請求本身被稱為 atomicMatch_ 並用於 NFT 平台上的交易。 Check Point 解釋說，“原子”是指只有在滿足所有參數的情況下交易才會生效。

據研究團隊稱，用於竊取 NFT 的賬戶似乎出現了價值 200 萬美元的被盜和轉售的新 NFT。

不可替代的熱潮

近幾個月來，NFT 已成為一個非常熱門的話題，以至於不僅內容創作者和品牌對它們感興趣，甚至大型娛樂和遊戲公司也開始努力定期實施它們。這個話題是有爭議的，雖然許多加密愛好者都接受 NFT，但許多其他人認為 NFT 本質上是一種非常複雜的方式來說服人們放棄他們的錢。

這一最新事故僅表明，與加密市場和交易所類似，NFT 市場也將成為威脅參與者的目標，並將出現在新聞中，隨著此類基礎設施和用戶群的增長，攻擊面越大威脅行為者也可以使用。