購物車

OpenSea 釣魚攻擊事件的啓示

2022-03-31

NFT買賣持續活躍,部分項目更以天價成交,騙案亦隨之增加。早前NFT交易平台OpenSea用戶疑受到網路釣魚攻擊,涉及254個NFT被盜,當中包括價值不斐的熱門收藏系列Bored Ape Yacht Club和 Azuki NFT,合共損失價值約170萬美元。事件引起關注,你的NFT安全嗎?

 

ad-banner1

OpenSea 用戶如何被盜NFT?

經調查後相信是駭客趁OpenSea進行智能合約升級期間,向用戶發送釣魚電郵,內容假冒OpenSea的智能合約升級電郵,邀請現有拍賣者登入網站把拍賣品掛到新合約上,否則2月 25日後全部現有拍賣都會被下架。駭客同時在釣魚網站中佈置另一個智能合約。很多用戶一不留神便誤以為是官方電郵,按進釣魚網站連結並簽署授權,允許駭客從錢包轉走NFT。

 

OpenSea CEO Devin Finzer發Twitter表示新智能合約功能正常,該攻擊並非針對OpenSea網站,相信是釣魚攻擊。

 

 

這是事件中的釣魚電郵,仿真程度相當高。

 

 

如何保護你的NFT和其他資產?

隨著不少NFT收藏價值上漲,駭客開始覬覦用戶的錢包。除了NFT外,駭客也會轉移受害人錢包內其他資產,例如以太幣(ETH)及比特幣(BTC)。要預防資產被盜取,有以下多重方法: 

 

  • 使用多個獨立的錢包地址來處理不同NFT項目交易,減低同時被盜的風險
 
     
  • 提防加密社交媒體如Discord群組內非官方公告連結,或是管理員私密留言
     
  • 注意電郵發出者是否來自官方電郵,舉例最常用的Metamask錢包並沒有用戶的電郵地址,如收到Metamask的電郵時要留意 

     
  • 官方人員不會要求用家提交你錢包的助記詞(seed phrase)
     
  • 使用冷錢包來保存資產,購買時切記從官方渠道購買