سرقت ۱٫۷ میلیون دلار NFT از طریق حمله فیشینگ به OpenSea

کلکسیونرهای NFT که از OpenSea استفاده می‌کردند تحت تأثیر حمله فیشینگ قرار گرفته‌ و در مجموع ۲۵۴ توکن خود را در بازه‌ی زمانی سه‌ساعته از دست دادند. تخمین زده می‌شود ارزش توکن‌ها بیش از ۱٫۷ میلیون دلار است.

روز شنبه، OpenSea متوجه شد شایعاتی در فضای مجازی مبنی بر اتصال قراردادهای هوشمند به بازار توکن غیرقابل تعویض (NFT) منتشر شده است. به‌همین‌دلیل، تصمیم گرفت موضوع را بررسی کند. پس از انجام این کار متوجه شد کاربران تحت تأثیر حمله فیشینگی نسبتاً معمولی قرار گرفته‌اند.

اپل اینسایدر می‌نویسد ایمیل‌هایی که شبیه به‌روزرسانی انجمن OpenSea به نظر می‌رسند برای مشتریان ارسال شده و از آن‌ها دعوت می‌کنند تا فهرست‌های اتریوم خود را به قرارداد هوشمند جدیدی منتقل کنند. قرارداد هوشمند قانونی OpenSea یک روز قبل معرفی شده بود، بنابراین فرد سودجو از این تغییر جدید سوءاستفاده و ایمیل فیشینگ خود را بر‌ پایه آن تنظیم کرد.

به گزارش Decrypt و طبق گفته دوین فینزر، مدیرعامل OpenSea، به نظر می‌رسد حمله فیشینگ به خود وب‌سایت متصل نیست و به‌طور جداگانه عملیاتی شده است. ظاهراً تنها ۳۲ نفر تحت تأثیر این ایمیل قرار گرفتند. آن‌ها به اشتباه و از سر ناآگاهی قراردادی را امضا کردند که منجر به از دست دادن توکن‌های آن‌ها شده است. در‌ نهایت نیز پس از امضای قراردادی که روی آن دو امضا از سوی کاربر نقش بسته، مهاجم فرایند انتقال NFTهای قربانی به حساب خود را آغاز می‌کند.

از زمان کشف این موضوع، برخی از NFTهای دزدیده‌شده به صاحبانشان بازگردانده شده است، اما بعضی از آن‌ها توسط مهاجم فروخته شده‌اند. شایعه شده بود که او ۲۰۰ میلیون دلار دزدی کرده اما بر‌ اساس شواهد این‌چنین نیست و بررسی کیف پول فرد سودجو نشان داد وی توانسته به ارزش ۱٫۷ میلیون دلار اتریوم جمع‌آوری کند.

OpenSea هنوز در حال بررسی این حادثه است تا مشخص شود حمله دقیقاً چگونه رخ داده است.