黑客籍OpenSea升級進行遭釣魚攻擊 用戶損失千萬

    NFT︱OpenSea用戶遭黑客釣魚攻擊失千萬 HKCERT教五招自保

    全球最大非同質化代幣(NFT)交易平台 OpenSea 的部分用戶疑遭受「釣魚攻擊」(phishing attacks),涉及金額達 1,326 萬港元,惟官方否認與網站有關。

    OpenSea 創辦人兼行政總裁 Devin Finzer 在個人 Twitter 中發帖文,指了解到用戶對事件十分擔心,但認為事件涉及網絡釣魚攻擊,否認與網站有任何關係。並指事件涉及 32 個 OpenSea 帳戶,他們一些 NFT 被盜。外媒 FORTUNE 指,這些 NFT 被盜後部份已轉售,涉及金額為 170 萬美元(約1,326萬港元),亦有用戶表示,被盜的 NFT 包括 Cool Cats 及 Doodle 系列。

    OpenSea升級進行釣魚攻擊

    報道提到,用戶可能收到疑似官方的電郵,誘使他們將 NFT 轉移到其他人的錢包中。該地址在區塊鏈瀏覽器 EtherScan 標記為 Fake_Phishing5169,錢包價值超過 170 萬美元。

    上周五,OpenSea 公佈了一份新的智能合約,以保安理由要求用戶將出售中的 NFT 升級至新的智能合約,有黑客便看準機會,偽冒該平台團隊,籍提醒用戶作借口來發送包括惡意網站連結的釣魚郵件,該假網站藏有交易條款,要求用戶簽署授權執行。有用戶信以為真,不慎點擊授權,令 NFT 資產被轉走。

    Devin Finzer 指出,這些攻擊並不活躍(The attack doesn’t appear to be active),調查中並沒有看到來自攻擊者帳戶的任何惡意活動,而部份 NFT 已歸還。他提醒用戶,簽署任何授權前,務必仔細檢查是否由 OpenSea 發出。

    用戶要加倍提防網絡釣魚攻擊

    香港電腦保安事故協調中心(HKCERT)呼籲,用戶要加倍提防日益猖獗的網絡釣魚攻擊,提醒用戶五大自保要點,包括:

    一,切勿任意點擊或打開來歷不明的電郵、短訊或社交媒體內的超連結或附件
    二,使用瀏覽器標籤功能來儲存 NFT 平台網址,避免使用其他人發送的連結登入平台
    三,在簽署任何交易前,應小心核實所有資料,如有不明的資料,應提高警覺及向官方機構查證
    四,檢視自己的 NFT 授權,並撤銷過去有問題或是不確定用途的授權
    五,切勿向任何人披露加密貨幣錢包的恢復短語(recovery phrase)

    #Blockchain #DigitalAsset #fintalk180 #HKCERT #NFT #OpenSea #phishingattack #加密貨幣 #區塊鏈 #數字資產

    相關文章