OpenSeaで複数のフィッシング攻撃が発覚
世界最大規模のNFTマーケットプレイスであるOpenSeaは2022年2月19日(土曜日)、複数のフィッシング攻撃を受け、2億円相当の被害にあったことが明らかになった。
As far as we can tell, this is a phishing attack. We don’t believe it’s connected to the OpenSea website. It appears 32 users thus far have signed a malicious payload from an attacker, and some of their NFTs were stolen.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
私たちが知る限り、これはフィッシング攻撃です。OpenSeaのサイトに接続されているとは思われません。これまでに32人のユーザーが攻撃者からの悪意のあるペイロードに署名し、一部のNFTが盗まれたようです。
このニュースは複数メディアが報じており、OpenSeaのデヴィン・フィンザー(Devin Finzer)CEO(最高経営責任者)は公式Twitterアカウントで、これまでに32人のユーザーが攻撃からの悪意あるペイロードに署名してしまい、一部のNFTが盗まれたことを明らかにした。OpenSeaは今月の3日、18日からスマートコントラクトのアップグレードを開始すると予告しており、悪意ある攻撃者はこの情報を悪用したとみられている。
コードのバグが原因か
OpenSeaに対する今回の攻撃は、コードのバグが原因で、悪意のある攻撃者が所有者の知らないうちに古い表示価格を使用して、NFTを盗みだした可能性があることが明らかになっている。
この攻撃では、170万ドル(約2億円)もの資産が、「Fake_Phishing5169」とラベリングされたハッカーとみられるウォレットに送金されている。さらに、ユーザーがツイートしたフィッシングメールとされる画像には、ガス代無料で新しいスマートコントラクトに移行できるという文言の下にGet Startedボタンがついており、クリックすることで偽サイトに誘導されるものであったという。
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
OpenSea関連のスマートコントラクトに関連するエクスプロイトの噂を積極的に調査しています。これは、OpenSeaサイトの外部で発生したフィッシング攻撃のようです。opensea.io以外のリンクはクリックしないでください。
高価格コレクションから多数のNFTが転送される
報道によると今回の攻撃で、BAYC(Bored Ape Yacht Club=退屈な類人猿) NFT、Cool Cats、Doodles、Azuki NFTなど、フロア価格の高いコレクションから多数のNFTが転送されている。
OpenSeaは声明で「私たちは、OpenSea関連のスマートコントラクトに関連するエクスプロイトの噂を積極的に調査しています。これは、OpenSeaのサイト外部で発生したフィッシング攻撃であり、opensea.ioの外部のリンクをクリックしないよう、注意喚起している。また、OpenSeaはまだハッキングをクラックしていないが、マーケットプレイスはサイトとTwitterにステートメントをアップロードすることで、ユーザーに警告を発している。
一方で、フィッシング詐欺に関してはopenseaの問題ではなく、外部での標的型攻撃によるものであるため、OpenSeaに責任があるというわけではないようだ。それでも同社は、影響を受けたユーザーを積極的に支援する方法について、32人の被害者と話し合っているという。
