全球最大 NFT 交易平台 OpenSea 周六传出资安事件,有骇客利用看起来很像是官方合约更换通知的电子邮件进行钓鱼诈骗(phishing),如果使用者打开了钓鱼信件,并且点击连结,这个动作就会授权骇客可以转移 NFT 资产。现在 OpenSea 执行长 Devin Finzer 出面回应,这起事件共有 32 人受害,骇客转卖盗出的 NFT 後得手约等值 170 万美元的以太币。
Devin Finzer 强调这起事件是一场外部钓鱼攻击,并非 OpenSea 智能合约本身具有瑕疵遭到攻击,但目前还没找到钓鱼信的来源。根据外媒报导,整起事件约有 3 百多枚 NFT 遭窃,其中包含无聊猿以及其衍生变种血清系列,以及 Azuki 等等。
然而,不知出於什麽原因,骇客还将其中部分 NFT 归还给了他们的原始所有者。
这次攻击发生在 OpenSea 将其系统迁移到新的 Wyvern 智能合约期间,骇客利用了更新智能合约需要取消原有挂单的机会,设计了新的 migration 连结获得授权盗取 NFT,是一次极具针对性的攻击。
核稿编辑:赵正玮
