🔑 Gate.ioアカウント登録
👨💼 24時間以内にKYC認証を完了
🎁 ポイント特典受取
Gateブログ
暗号資産に関するニュースや洞察へのゲートウェイ
OpenSeaフィッシング攻撃の分析
08 April 10:28
OpenSea(オープンシー)は、デジタルアーティストやNFT愛好家にとって不可欠なツールです。
OpenSeaは、2017年にDevinFinzerとAlexAtalahによって設立されました。
OpenSeaは、NFTの作成者、購入者、投資家、愛好家がミントデジタルアートを鑑賞して購入するための分散型プラットフォームを提供しています。
最近、OpenSeaマーケットプレイスはフィッシング攻撃に見舞われました。この攻撃により、250を超えるNFTアートワークが失われ、推定被害額は170万ドルを超えました。
この攻撃は、悪質な電子メールを使用して、疑いを持たないユーザーをだまして疑わしい契約に署名させるフィッシング攻撃です。
OpenSeaは、非代替トークン(NFT)の最大の市場の1つです。
デジタルアートクリエーターとして、OpenSeaでコレクションを紹介し、キャスティングに入札する関心のあるバイヤーとコミュニケーションをとることができます。
最近、OpenSeaマーケットプレイスがサイバー攻撃を受け、250を超えるNFTが失われ、約170万ドルの価値があると推定されています。
調査の結果、攻撃はフィッシング攻撃方式で行われていることが判明しました。
攻撃がどのように発生し、その影響を確認する前に、デジタルマーケットプレイスとしてのOpenSeaとフィッシング攻撃の背後にある謎を見てみましょう。
デジタルアートの市場としてのOpenSea
OpenSeaは2017年12月に設立され、NFTの買い手と売り手はプラットフォームを介して通信および取引できます。
DevinFinzerとAlexAtalahは、ニューヨークでNFTの世界初かつ最大の市場を確立しました。
OpenSeaは分散型マーケットプレイスであり、すべてのデジタルアーティストと愛好家に開かれています。
現在、デジタルマーケットプレイスには約8000万のNFTがあり、200万の収集品が7,078万ドルのエーテルに相当します。
OpenSeaクリエーターアカウントの設定を開始するのは最小限であり、NFTの作成とOpenSeaアカウントの設定はとても簡単です。
NFTトランザクションごとに、OpenSeaは2.5%のメンテナンス料金のみを請求します。OpenSeaでNFTを売買するための主なトークンはイーサリアム(ETH)です。
OpenSeaのデータによると、2021年8月、NFTSの取引量は35億ドルを超えましたが、2020年には、取引量は2,100万米ドルにしか達しませんでした。
デジタルアーティストにとってOpenSeaの重要性を強調した後、フィッシング攻撃とそれらがどのように攻撃するかを見てみましょう。
フィッシング攻撃とは何か?
フィッシングは、現在流行りのデジタル強盗の一種です。疑いを持たないユーザーをだまして悪意のあるリンクをクリックしたり、Webサイトを表示したりすると、マルウェアが自動的にあなたのデバイスを攻撃します。
フィッシングはソーシャルエンジニアリング攻撃になる可能性もあり、ハッカーはあなたのデータやログイン資格情報やクレジットカード番号などの機密情報を悪用する可能性だってあります。
フィッシング攻撃はさまざまな形で発生します。攻撃者は、信頼できるエンティティになりすまし、信頼できるエンティティによく似たIDを作成することもできます。
一般に、IDが偽物であることに気づくことは非常に困難であり、ユーザーは無意識のうちにリンクをクリックして、マルウェアを含む電子メールまたはテキストメッセージを開きます。
週末に、OpenSeaで250を超えるNFTが失われるフィッシング攻撃が実行されました。
攻撃を受けたユーザーは、デジタルアートワークを別のウォレットに送金するように指示する電子メールを受信します。最終的に、電子メールを開いたすべてのデジタルアーティストが攻撃されました。
メールを開くことで、ハッカーは有効な署名にアクセスし、これらのユーザーの暗号ウォレットを不正なWebサイトに接続できます。
別の調査では、ハッカーが盗まれたNFTのユーザーをだまして不正な署名に署名させていることが明らかになりました。彼らは、デジタルアートを攻撃者に0ETHで販売する契約に署名することに同意させ、これにより、ハッカーは一文払わずにユーザーのNFTを手に入れることができます。
一部の専門家は、OpenSeaがユーザーとの通信に電子メールを使用したからこそ、攻撃が成功したと信じています。なぜなら、ユーザーが受信する電子メールが偽の電子メールであるかを区別することは困難だからです。
OpenSeaは、将来起こりうるフィッシング攻撃を防ぐために、Web3通信プラットフォームMetalinkを搭載したカスタマーサービスサーバーを立ち上げました。
この新しいコミュニケーションチャネルを使用すると、カスタマーサポートと直接チャットでき、詐欺師が社員になりすましてユーザーをだますのを防ぐことができます。 フィッシング攻撃がどのように実装されているかを確認したので、次に、デジタル資産の投資家や愛好家に対するそのような攻撃の影響の調査に移ります。
カスタマーサービスコミュニケーションサーバーを使用すると、OpenSeaの管理者から直接、サポート、アドバイス、タイムリーな応答、更新を受け取ることができます。
OpenSeaフィッシング攻撃の影響
一部のユーザーによるOpenSeaウォレットへの攻撃により、250を超えるNFTが盗まれました。
主な原因として、多くのユーザーは、デジタルマーケットプレイスは外部からの攻撃から安全であると信じています。
一部の投資家は、NFTを購入してブロックチェーンウォレットに保管することで、この安全な避難所に大量の資産を保管できると考えています。
しかし、この攻撃は投資家を驚かせました。彼らの多くは現在、より安全な保存方法を探しています。
この攻撃のもう1つの関連する標的は電子メールであり、これは依然として効果的な通信媒体ですが、セキュリティーはとても脆弱しています。
ほとんどの組織は、正式なコミュニケーションに電子メールを使用しています。公式アドレスの電子メールを受信すると、メッセージの内容にほとんど注意を払わず、メールに言われた通りに行動します。
しかし、この攻撃により、メールマーケターはかなりの挫折に見舞われるでしょう。新しいメッセージはより慎重であり、それらを見ないで削除されたり、スパムとしてマークされたりする可能性だってあります。
さらに、フィッシング攻撃の被害に遭った個人は、実際の送信者から送信されたものであっても、メールの通信を信頼しなくなります。一部の人々はメールアドレスの使用をやめ、他のコミュニケーション手段を探すかもしれません。
まとめ
アプリケーション開発者がさまざまな形態の攻撃からアプリケーションを保護するためのさまざまな手段を実装するにつれて、ハッカーはこれらのアプリケーションを攻撃するためのさまざまな手段も模索しています。
したがって、これらのアプリケーションのセキュリティアーキテクチャは継続的に強化され、頻繁にアップグレードされる必要があります。特に、多くの資産と価値を持つOpenSeaのようなアプリケーションの場合は特にそうです。
盗まれたNFTがプライベートウォレットに追跡されるフィッシング攻撃が発生しましたが、それでもユーザーを安心させ、そのような攻撃が将来発生しないようにする必要があります。
著者:Gate.ioの研究者Valentine A.
翻訳者:AkihitoY.
免責事項:
*この記事は研究者の意見を表すものであり、取引に関するアドバイスを構成するものではありません。
※本記事の内容はオリジナルであり、著作権はGate.ioに帰属します。転載が必要な場合は、作者と出典を明記してください。そうでない場合は法的責任を負います。
運試しで箱を開いて $6666の報酬を獲得しよう
今すぐ登録
今すぐ20ポイント受け取ろう
新規ユーザー限定:2つのステップを完了してポイントを受け取ろう!
今すぐ受け取る
