網絡釣魚攻擊日日提亦日日有人中招,全球最大NFT交易市場OpenSea近日也成為駭客的目標。其中一名受害用戶發現自己的NFT損失,招集了「苦主大聯盟」分析原因。他在社交網站Twitter上指出受害用戶的共通點,就是被盜的NFT都曾被他們手動移到「新合約」去,並因此要求OpenSea開腔作出合理解釋。
這次的攻撃始於駭客看準官方OpenSea正好要為客戶更新合約,而且時限只有一個星期,部份「價值不非」的著名NFT系列屆時將會從舊約中移除,他們於是假裝成OpenSea官方帳號向用戶寄出電郵,欺騙用戶可免燃料費(Gas Fees)將屬於自己的NFT作品手動移動到新的智能合約。用戶或因時限將至而心急沒有看清楚網址連結,點進去成為騙徒的囊中物。
OpenSea聯合創始人兼首席執行官Devin Finzer在Twitter上承認這次攻撃,最初稱有32名用戶成為是次攻撃的受害者,之後改稱為17名,其中包括部分著名的收藏品,如Bored Ape Yacht Club和Mutant Ape Yacht Club等,前者被稱為現今價值最高的NFT,以猿猴造型加上不同的配件和特色,Justin Bieber、饒舌歌手Gunna等都曾向其購買猿猴NFT。
Finzer亦強調,是次網釣攻撃不是源自OpenSea本身,故駭客並非透過官方平台的漏洞達成這次行動,呼籲使用者不要點進OpenSea以外的網站。駭客的加密貨幣帳戶中一度有641個以太幣,價值約170萬美元(約1,330萬港元),均是出售以上NFT所得。
一般賊人行劫後都逃之夭夭,但這位駭客之後的行為卻令人費解。他竟把部分奪得的NFT還給受害人,其中一名受害用戶重獲50以太幣,價值約13萬美元(約101萬港元)。未知這位駭客是盜亦有道,還是「數百萬當係碎銀」,賺夠了都想讓其他人賺一下呢?