NFT︱OpenSea用戶遭黑客釣魚攻擊失千萬 HKCERT教五招自保

全球最大非同質化代幣（NFT）交易平台 OpenSea 的部分用戶疑遭受「釣魚攻擊」（phishing attacks），涉及金額達 1,326 萬港元，惟官方否認與網站有關。

OpenSea 創辦人兼行政總裁 Devin Finzer 在個人 Twitter 中發帖文，指了解到用戶對事件十分擔心，但認為事件涉及網絡釣魚攻擊，否認與網站有任何關係。並指事件涉及 32 個 OpenSea 帳戶，他們一些 NFT 被盜。外媒 FORTUNE 指，這些 NFT 被盜後部份已轉售，涉及金額為 170 萬美元（約1,326萬港元），亦有用戶表示，被盜的 NFT 包括 Cool Cats 及 Doodle 系列。

籍OpenSea升級進行釣魚攻擊

報道提到，用戶可能收到疑似官方的電郵，誘使他們將 NFT 轉移到其他人的錢包中。該地址在區塊鏈瀏覽器 EtherScan 標記為 Fake_Phishing5169，錢包價值超過 170 萬美元。

上周五，OpenSea 公佈了一份新的智能合約，以保安理由要求用戶將出售中的 NFT 升級至新的智能合約，有黑客便看準機會，偽冒該平台團隊，籍提醒用戶作借口來發送包括惡意網站連結的釣魚郵件，該假網站藏有交易條款，要求用戶簽署授權執行。有用戶信以為真，不慎點擊授權，令 NFT 資產被轉走。

Devin Finzer 指出，這些攻擊並不活躍（The attack doesn’t appear to be active），調查中並沒有看到來自攻擊者帳戶的任何惡意活動，而部份 NFT 已歸還。他提醒用戶，簽署任何授權前，務必仔細檢查是否由 OpenSea 發出。

提醒用戶要加倍提防網絡釣魚攻擊

香港電腦保安事故協調中心（HKCERT）呼籲，用戶要加倍提防日益猖獗的網絡釣魚攻擊，提醒用戶五大自保要點，包括：

一，切勿任意點擊或打開來歷不明的電郵、短訊或社交媒體內的超連結或附件
二，使用瀏覽器標籤功能來儲存 NFT 平台網址，避免使用其他人發送的連結登入平台
三，在簽署任何交易前，應小心核實所有資料，如有不明的資料，應提高警覺及向官方機構查證
四，檢視自己的 NFT 授權，並撤銷過去有問題或是不確定用途的授權
五，切勿向任何人披露加密貨幣錢包的恢復短語（recovery phrase）