NFTマーケットプレイスOpenSeaで複数の盗難 フィッシング攻撃で被害額は2億円相当
世界最大規模のNFTマーケットプレイスである米OpenSeaで、フィッシングによる窃盗が発生。32人のユーザーがNFTを盗まれた。CTOが手口を説明し、外部での標的型攻撃によるものではあるが、被害者を支援するとツイートした。
世界最大規模のNFTマーケットプレイス、米OpenSeaの複数のユーザーが2月19日午後(米東部時間)からNFTを盗まれたと報告している。OpenSeaのWebサイト上部には本稿執筆現在、以下のような警告メッセージが表示されている。
「OpenSea外部で発生したフィッシング攻撃のうわさについて調査を続けています。opensea.io以外のリンクをクリックしないでください」とある。
同社のデヴィン・フィンザーCEOは同日午後11時ごろ、公式Twitterアカウントで「これまでに32人のユーザーが攻撃からの悪意あるペイロードに署名してしまい、一部のNFTが盗まれた」とツイートした。「ユーザーに送られたフィッシングメールを認識していない」ながらも、OpenSeaのWebサイトをかたるフィッシングの可能性を示唆した。
OpenSeaは3日、18日からスマートコントラクトのアップグレードを開始すると予告しており、悪意ある攻撃者はこの情報を悪用したとみられる。このアップグレードは、今回のような詐欺でユーザーが不用意に署名することを困難にすることが目的だった。
あるユーザーがツイートしたフィッシングメールとされる画像には「ガス代無料で新しいスマートコントラクトに移行できます」という文言の下に「Get Started」ボタンがついており、これを選ぶと偽サイトに誘導されるものとみられる。
イーサリアムのブロックチェーンエクスプローラーEtherscanがFace_Phishing5169とラベル付けした攻撃者のアドレスのバランスは一時期641イーサリアム(約2億円相当)だった。既に複数のNFTを販売している。
本稿執筆中に、OpenSeaのナダブ・ホランダーCTO(最高技術責任者)が一連のツイートでこのフィッシング公的の技術的な概要を共有した。
被害はopensea.ioの問題ではなく、外部での標的型攻撃によるものではあるが、「影響を受けるユーザーを積極的に支援する」方法について32人の被害者と話し合っているという。
関連記事
- 米司法省、2018年にBitfinexから盗まれたビットコイン4160億円相当を押収、2人を逮捕
米司法省は2016年にBitfinexから盗まれたビットコイン、36億ドル(約4160億円)相当を押収し、ビットコインをロンダリングしようとした夫婦を逮捕したと発表した。 - LyftのCFO、NFTのマーケットプレイス最大手OpenSeaのCFOに就任
NFTマーケットプレイス最大手のOpenSeaが、配車サービスLyftのCFOを引き抜いた。ロバーツ氏は「OpenSeaのチームと共に、NFT、Web3、デジタル経済の未来を形作る」とツイートした。 - NFTの「Bored Ape」が“メタバースバンド”結成 Universal Musicからデビュー
音楽レーベル大手のUniversal Musicは、NFTコレクション「Bored Ape Yacht Club」の4キャラクターによるバンド「KINGSHIP」の結成を発表。メタバースでのライブなどを展開していく。 - ときはまさにNFT元年 3D、動画、画像、音楽、印鑑、漫画、チケット、小説――何でもNFT化される時代に
2021年はNFT元年といって間違いないだろう。日本でもゲーム、VR、イラスト、音楽など、ありとあらゆるものがNFTとして売りに出されるようになった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.