Opensea遭釣魚攻擊 32名用戶被盜損失254個NFT共1365萬誘智能合約升級成漏洞

By Ken Kan on 21 Feb 2022

Finance Editor

全球最大NFT交易平台Opensea在上月遭黑客鑽漏洞，通過「非活躍掛單」強制成交「藍籌NFT」，隨後官方宣佈將會宣佈縮短拍賣時間，以及在個人頁面中提供「查看掛單」功能，防止同類事件發生。不過，近期Opensea又傳出問題，執行長Devin Finzer在Twitter上表示Opensea用戶遭受網絡釣魚攻擊（phishing），共有32名用戶受影響，損失254個無聊猿、Azuki等NFT，價值合共641個以太幣，即175萬美元或1365萬港元。

Photo from BusinessFocus

Opensea創始人兼執行長Devin Finzer於周末時在Twitter發文表示，Opensea正在遭受一場網絡釣魚攻擊，不過公司的網站、電郵、廣告等鏈結均沒有被植入釣魚網頁。他強調Opensea的網站不是本次攻擊的目標，也沒有人利用Opensea一些未知的漏洞，因此懷疑本次事件是有用戶曾經收到或點擊了可疑電郵的連結導致被盜，但目前仍然未知道釣魚鏈結是在何處出現。

不過有分析懷疑，黑客是利用這次Opensea智能合約升級的漏洞，誘使持有人簽署協議，讓黑客可以在未有交易的情況下轉移NFT的所有權。根據Opensea上周六在Twitter上宣佈的消息，為了解決「非活躍掛單」的問題，以及在提供更多新的安全功能，公司將會推出智能合約升級，要求用戶將NFT掛單轉移至新的Wyvern合約。這次釣魚攻擊與轉移的時間點吻合，有人懷疑是NFT用戶不慎中招，把NFT轉移至黑客錢包。

本次事件中被轉移的包括多個「藍籌NFT」，例如無聊猿、Azuki、Cool Cats、Doodles等。另外，根據錢包紀錄顯示，黑客還通過Rarible、Looksrare等其他交易平台進行交易，目前被盜NFT的金額達到641以太幣，即175萬美元或1365萬港元。儘管部份被盜的NFT已經歸還給原用戶，但這次事件又再一次引起NFT交易的安全問題。

Photo from BusinessFocus

除了盜竊之外，Opensea也出現多次抄襲和偽造。有報道指，Oepnsea為鼓勵創作者鑄造NFT，曾經一度免除礦工費（gas fee），但這個服務很快就被濫用，超過8成的作品都屬於抄襲或偽造。更有人專門開設Twitter賬號「NFT thefts」，用來紀錄NFT的偷竊和抄襲事件。月前傳得沸沸騰騰的無聊猿抄襲事件，已被Opensea官方強制下架，但這也引來了「中心化」的疑慮。以太幣區塊鏈和其NFT產品都屬於「去中心化」，但Opensea卻可以加以監管，這其中似乎存在矛盾。