OpenSeaNFTハックがWeb3の自己管理リスクを暴露

ハッカーは、Bored Ape Yacht Club、Azuki、NFTWorldsなどの人気のあるコレクションから何百もの高価値のNFTを盗みました。

NFTハックを標的としたOpenSeaユーザー

ハッカーは昨夜、OpenSeaユーザーから数百万ドル相当のNFTを盗みました。

攻撃者は、トップNFTマーケットプレイスの推定32人のコレクターを標的とし、イーサリアムウォレットを使い果たしました。 Peckshieldによって投稿されたチェーン上のデータは、Bored Ape Yacht Club、Doodles、Azuki、NFTWorldsなどの高価値のコレクションから250個以上を盗んだことを示しています。 コレクションの最低料金に基づいて、 暗号ブリーフィング 総運搬量は1,000イーサリアム、つまり300万ドルを超えると推定されています。 The 攻撃者の財布 現在、約170万ドル相当の641イーサリアムと、盗まれたNFTのセレクションが含まれています。

攻撃のニュースは、ユーザーが自分のアカウントに関連する疑わしい活動を報告した土曜日の終わりにTwitterで最初に表面化した。 このエクスプロイトは、OpenSeaユーザーがここ数週間にわたってNFTを移行しているスマートコントラクトに関連していると当初は噂されていました。 ただし、OpenSeaはフィッシング攻撃の可能性を指摘しました。

OpenSea関連のスマートコントラクトに関連するエクスプロイトの噂を積極的に調査しています。 これは、OpenSeaのWebサイトの外部で発生したフィッシング攻撃のようです。 外部のリンクをクリックしないでください https://t.co/3qvMZjxmDB。

— OpenSea（@opensea） 2022年2月20日

チームは日曜日の初めにTwitterにアクセスし、噂を「積極的に調査」しており、「OpenSeaのWebサイト外でのフィッシング攻撃」が原因である可能性があることを発表しました。 OpenSeaのCEO、デビン・フィンザー 言った チームが「全面的な調査を実施」しており、影響を受けた32人のユーザーがフィッシング攻撃に苦しんでいたこと。 今朝早く、フィンツァー 彼の信念を繰り返した それはフィッシング攻撃だったと。 「これはフィッシング攻撃だったと確信しています」と彼は書いています。 セキュリティ分析会社のPeckShieldも事件を調査し、 ビューを共有しました フィッシング詐欺が根本的な原因である可能性が高いこと。

NFTハックはWeb3のリスクを暴露します

完全な事後分析はまだ公開されていませんが、イーサリアムユーザー foob​​ar と アイソタイル 攻撃者の予想される動きを詳述するツイートストームを投稿しました。 オンチェーンデータは、OpenSeaの契約への呼び出しを使用したスマートコントラクトを1月22日に展開したことを示しています。 彼らは、おそらくOpenSeaが送信するものを複製した電子メールを送信することによって、ユーザーをだましてNFTをハッカーのウォレットに転送するトランザクションに署名させたと考えられています。 十分な数のNFTコレクターをだまして悪意のあるトランザクションに署名させた後、攻撃を実行してウォレットを使い果たしました。 フィッシング攻撃はまだ確認されていませんが、この事件はWeb3を使用するリスクを露呈しており、悪意のあるイーサリアムトランザクションに署名すると悲惨な結果を招く可能性があります。

ここ数ヶ月、多くのBored Ape Yacht Clubの所有者は、資産を手放した後、同様の攻撃で価値の高いNFTを失いました。 NFTが主流の関心を集め、その価格が高騰するにつれて、ハッカーはますますコレクターを標的とするスペースに目を向けるようになりました。 影響を受けたOpenSeaユーザーのほとんどは、悪意のある契約に署名するように仕向けるフィッシング攻撃の犠牲になっています。 セルフカストディウォレットと分散化のすべての利点のために、そのような攻撃は、暗号とNFTが本当に大量採用の準備ができているかどうかについての疑問を提起します。 暗号保有者が資産を保管するためにハードウェアウォレットを使用する場合でも、それらは必ずしもスマートコントラクト詐欺から保護されているわけではありません。 コレクターにとって、このようなNFTハックは、特に電子メールのチェックやトランザクションへの署名に関して、Web3で常に注意を払うことの重要性を思い出させます。

開示：これを書いている時点で、この機能の作者はETHと他のいくつかの暗号通貨を所有していました。