โทเค็นที่ไม่สามารถเปลี่ยนได้ (NFT) หลายร้อยรายการถูกขโมยจากบัญชีผู้ใช้ OpenSea หลังจากการโจมตีแบบฟิชชิ่งที่ประสบความสำเร็จหลายครั้ง
ตลาด NFT ได้รับการแจ้งเตือนถึงปัญหานี้ในช่วงสุดสัปดาห์เมื่อลูกค้าจำนวนหนึ่งพบว่าโทเค็นหายไปจากกระเป๋าเงินของพวกเขา ข่าวเหตุการณ์แพร่กระจายอย่างรวดเร็ว สร้างความตื่นตระหนกในชุมชน NFT
ในความพยายามที่จะระงับความตื่นตระหนก Devin Finzer CEO ของ OpenSea ได้ใช้ Twitter โดยอธิบายว่าการโจมตีไม่ได้เป็นผลมาจากการละเมิดความปลอดภัยในแพลตฟอร์ม แต่เป็นแคมเปญฟิชชิ่งที่กำหนดเป้าหมายไปที่เจ้าของ NFT
รายการที่รวบรวมโดยบริษัทรักษาความปลอดภัยบล็อกเชน PeckShield ระบุว่ามีการขโมย NFT มากกว่า 250 รายการ รวมถึงรายการจากคอลเลกชั่นยอดนิยมอย่าง Bored Ape Yacht Club แม้ว่าจะมีการกู้คืนบางส่วนแล้วก็ตาม การวิเคราะห์กระเป๋าเงินแสดงให้เห็นว่าโทเค็นที่ถูกขโมยทำให้ผู้โจมตีมีมูลค่าการขายประมาณ 1.7 ล้านยูโร
NFTs OpenSea ที่ถูกขโมย
NFTs เป็นตัวแทนของคุณสมบัติดิจิทัล เช่น รูปภาพหรือวิดีโอ ซึ่งมักอธิบายว่าเป็นของสะสมดิจิทัล สิ่งที่ทำให้พวกเขาแตกต่างจากของสะสมแบบดั้งเดิม (เช่น สกินของ Fortnite) คือ NFT แต่ละรายการมีลายเซ็นที่แตกต่างกันซึ่งพิสูจน์เอกลักษณ์และอนุญาตให้ตรวจสอบและติดตามความเป็นเจ้าของเนื้อหาที่เกี่ยวข้องได้
เมื่อของเล่นของผู้ที่ชื่นชอบส่วนน้อย ตอนนี้ NFTs กำลังเปลี่ยนมือเป็นเงินหลายล้านดอลลาร์บนแพลตฟอร์มอย่าง OpenSea ซึ่งมีมูลค่า 13 พันล้านยูโร
การประเมินมูลค่าของ NFT ที่ซื้อขายบน OpenSea และความอื้อฉาวของตลาดย่อมดึงดูดความสนใจของแฮ็กเกอร์อย่างหลีกเลี่ยงไม่ได้ ในช่วงไม่กี่เดือนที่ผ่านมา บริษัทต้องปิดจุดบกพร่องด้านความปลอดภัยที่อนุญาตให้แฮ็กเกอร์ซื้อ NFT ได้ในราคาที่ต่ำกว่ามูลค่าของพวกเขามาก และสร้างโทเค็นที่เป็นอันตรายซึ่งสามารถระบายกระเป๋าเงินดิจิตอลของเหยื่อได้
ตอนนี้ OpenSea ประสบปัญหาด้านความปลอดภัยอื่น ซึ่งรายละเอียดยังไม่ชัดเจน
"ทีมของเราทำงานอย่างไม่รู้จักเหน็ดเหนื่อยเพื่อตรวจสอบรายละเอียดเฉพาะของการโจมตีแบบฟิชชิ่งนี้" OpenSea อธิบายผ่านบัญชี Twitter อย่างเป็นทางการ
“เราได้ลดรายชื่อผู้ได้รับผลกระทบลงเหลือ 17 ราย ลดลงจาก 32 รายที่กล่าวถึงข้างต้น การนับครั้งแรกของเรารวมทุกคนที่โต้ตอบกับผู้โจมตี มากกว่าผู้ที่ตกเป็นเหยื่อของการโจมตีแบบฟิชชิง"
อย่างไรก็ตาม กลไกการโจมตีที่แม่นยำยังคงไม่ชัดเจน สัญญาณเริ่มต้นชี้ไปที่การจัดการโปรโตคอล Wyvern ซึ่งสร้างสัญญาอัจฉริยะ NFT ส่วนใหญ่ ตามเธรด Twitter ที่อ้างอิงโดย Finzer ผู้โจมตีหลอกล่อเหยื่อให้ลงนามในคำสั่ง Wyvern ครึ่งหนึ่ง อนุญาตให้โอน NFT ของพวกเขาไปยังกระเป๋าเงินใหม่โดยไม่ต้องชำระเงิน
Finzer กล่าวว่าไม่มีหลักฐานว่าผู้ใช้ที่ได้รับผลกระทบถูกโจมตีทางอีเมล และตัวตนของเว็บไซต์ที่ใช้ในการอำนวยความสะดวกในการโจมตียังคงเป็นปริศนา
คำแนะนำสำหรับผู้ใช้ OpenSea ที่ได้รับผลกระทบคือ “ตรวจสอบให้แน่ใจว่าคุณกำลังโต้ตอบกับ opensea.io ในเบราว์เซอร์ของคุณเมื่อลงนามข้อความ” และ “ยกเลิกการเข้าถึงคอลเลกชัน NFT ของคุณ” ผ่าน Etherscan
TechRadar Pro ถาม OpenSea ว่ามีแผนที่จะใช้มาตรการเพื่อป้องกันไม่ให้ผู้ใช้ตกเป็นเหยื่อของการหลอกลวงแบบฟิชชิ่งที่คล้ายคลึงกันในอนาคตหรือไม่