Harpie は、OpenSea でのガスレス購入に関わるハッカーによる新たな手口について NFT ユーザーに注意を促している。同プラットフォームは、ハッカーが過去数か月間に数百万ドル相当の Apes を盗んだと主張している。
ハッカーは、あまり知られていない OpenSea の機能を使って、魔法のように NFT を盗むことができました。これは最新のハッキングであり、すでに Apes の数百万ドルが失われています。(🧵1/4) pic.twitter.com/fTK20WQrgh
— ハーピィ (@harpieio) 2022年12月22日
通常、人気の NFT マーケットプレイス OpenSea でガスレス販売を行ったり、プライベートオークションを作成したりするには、ユーザーは理解できないメッセージを含む署名リクエストを承認する必要があります。署名は、ログインして Web サイトを使用するために必要な手順として頻繁に提示されます。
この技術的な抜け穴を利用して、フィッシング Web サイトは被害者に、知らないうちに理解できない文字のいずれかに署名するよう要求し始めました。
ハッカーが被害者に送信するログイン メッセージは、ユーザーにプライベート販売の承認とハッカー アカウントへの資産の即時無料転送を要求する署名要求です。
Harpie 氏は、このトリックとフィッシング キャンペーンにより、人気の NFT マーケットプレイスから数百万相当の Apes が転送されたと指摘しています。
Web3ユーザーはアイスフィッシングに注意すべき
最近、Metamask へのフィッシング攻撃が発生した後、ブロックチェーン セキュリティ企業 CertiK は、暗号通貨コミュニティに対し、「アイス フィッシング」と呼ばれる行為について警告しました。
この脆弱性を利用して、詐欺師は Web3 ユーザーに、攻撃者にトークンの使用権を与える許可に署名させます。CertiK によると、この詐欺は Web3 業界に特有のものであり、深刻な危険をもたらします。
12月17日、アナリストは、詐欺師がガスレスのSeaport署名機能を使用して14個のBored Ape NFTを盗んだと報告されていることを指摘した。
ハッカーは広範囲にわたるソーシャルエンジニアリングを行った後、被害者を偽のNFTプラットフォームに誘導し、契約締結に使用するアカウントを要求しました。その後、被害者のウォレットは盗まれました。
