OpenSea装うサイトでフィッシング攻撃、約2億円の被害か
NFTマーケットプレイスのオープンシー(OpenSea)のユーザーが、オープンシーを装うサイトでフィッシング攻撃を受け、NFTを盗難されたことが2月20日に分かった。
攻撃者は一部のNFTを返却しているが、総被害額は約2億円(170万ドル)であることがオープンシーの調査によって明らかになっている。
フィッシング攻撃とは攻撃者が偽りのウェブサイトなどを通して、個人情報を盗み取る攻撃である。例えば攻撃者はサイトやプロダクトの運営企業を詐称して、顧客にリンクを送り、そこで重要な情報を登録させ、盗み出す。
オープンシーのCEOであるデビン・フィンザー(Devin Finzer)氏は、フィッシング攻撃の原因や現在の調査状況に関して、随時ツイッターを通して、説明している。
同氏は「私たちは、NFTが盗まれたユーザーと積極的に協力し、悪意ある署名の原因となっているウェブサイトを絞り込んでいます。中には私たちチームと直接電話で話してくれたユーザーもいて、大変感謝しています」とツイートしている。
また同氏はユーザーがフィッシング攻撃を予防する手段として「メッセージに署名する際には、ブラウザで https://opensea.io とやりとりしていることを常に再確認してください」と伝えている。
そして攻撃者のイーサリアムアドレスも明らかになっており、人気NFTのCloneX、BAYC、Azukiなどが盗まれていることが分かっている。
オープンシーは2月18日よりスマートコントラクトのアップグレードを行なっており、フィッシング攻撃はそのアップグレードが原因となっているのではないかという声もユーザーからあがっているが、その関連性は低そうだ。
オープンシーのCTOであるナダヴ・ホランダー(Nadav Hollander)氏は「悪意のある注文はどれも新しいスマートコントラクト(Wyvern 2.3)に対して実行されていないことから、アップグレード前に署名されたものであり、移行フローに関連する可能性は低いことがわかります」とツイートで説明している。
参考:Twitter
デザイン:一本寿和
images:iStocks/LuckyStep48