OpenSea用戶被盜254枚NFT 黑客轉售 套641個以太幣
原文刊於信報財經新聞「StartupBeat創科鬥室」
OpenSea遭網釣攻擊,被盜NFT包括無聊猿及Azuki系列。(OpenSea網上圖片)
非同質化代幣(NFT)在全球掀起狂熱,相關網絡安全風險不容忽視。NFT交易平台OpenSea行政總裁Devin Finzer證實,正調查一宗網絡釣魚攻擊,事件共導致32人蒙受損失。黑客透過出售所盜取的NFT,據報已獲利641枚以太幣(ETH),價值相當於174.5萬美元(約1361.1萬港元)。區塊鏈保安服務商PeckShield稱,黑客一共盜取了254枚NFT,包括無聊猿(Bored Ape Yacht Club)及Azuki系列。
網釣攻擊 32人中招
Finzer強調,今次事件屬外部釣魚攻擊,受害人不小心簽署了來自黑客的惡意載荷(Malicious Payload),錯誤把手上的NFT資產轉移。由於受影響用戶均否認自己曾點擊可疑電郵超連結,平台暫時未知黑客透過什麼渠道發動釣魚攻擊;公司正與受影響用戶合作,追蹤他們曾經共同登錄過的網站,嘗試找出誘使受害人簽署惡意載荷(執行惡意活動訊息)的地方。
有網民分析指,OpenSea受害人只簽署了一半合約,再由黑客填寫合約上的空白內容。(OpenSea網上圖片)
OpenSea近日正進行智能合約升級,隨着新的Wyvern智能合約上線,用戶由舊合約遷移至新合約,需要簽署掛單遷移請求。惟Finzer及OpenSea技術總監(CTO)Nadav Hollander均表明,事件跟OpenSea升級智能合約無關,亦沒有證據顯示OpenSea的系統及智能合約存在漏洞。Hollander認為,在OpenSea遷移合約前,受害人其實已簽署了惡意載荷。
事件曝光後,Finzer和Hollander一直透過Twitter交代事件,其他用戶亦對事件議論紛紛。其中一位用戶Neso推測,事件與空白支票異曲同工。受害人只簽署了一半合約,再由黑客填寫合約上的空白內容,Finzer亦認同相關推論。
行政總裁Devin Finzer透過Twitter交代事件。(Twitter網上圖片)
可暫停資產互動權限自保
Finzer指出,目前黑客已歸還部分NFT,惟未有透露當中原因,亦未見涉事黑客有其他可疑舉動,會繼續調查並隨時向公眾滙報。他重申,用戶每次簽署智能合約時,需要確認自己是跟真正的OpenSea系統互動。用戶若擔心NFT資產被盜,可以設定un-approve,暫停外界與NFT資產的互動權限。
OpenSea近日升級智能合約,為黑客偷走NFT資產造就機會。(OpenSea網上圖片)
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
