起業家のKevin Rose氏は、「Seaport Signature」と呼ばれるOpenSeaとNFTを標的としたフィッシング攻撃で140万ドルを失ったと発表しました。この種の詐欺の手口と、そこから身を守る方法を紹介しましょう
140万ドルのハッキング
1月25日(水)、著名人のケビン・ローズ氏がフィッシング攻撃の被害に遭い、140万ドルの非金融性トークン(NFT)が失われたことを発表しました。
Twitterで160万人以上のフォロワーを持つ彼は、ポッドキャスト「Proof」やNFTコレクション「Moonbirds」、ベンチャーキャピタルファンド「True Ventures」の運営で知られています。彼はTwitterで早速、
と回答しています。
I was just hacked, stay tuned for details – Please avoid buying any squiggles until we get them flagged (just lost 25) + a few other NFTs (autoglyph) …
– KΞVIN R◎SE (,↪1F989↩) (@kevinrose) January 25, 2023
OpenSea上の彼のウォレット履歴から明らかなように、被害者はAutoglyph、Cool CatsまたはOnChainMonkeyなどの様々なコレクションから40 NFTを失ったと報告されています。トークンは攻撃者のウォレットに直接送られ、プラットフォーム上で販売に供されていました。
Kevin Rose氏の影響力のおかげで、OpenSeaチームから支援を受けることができ、当該NFTを凍結し、マーケットプレイスで販売されないようにすることができました。しかし、LooksRareやRaribleなどの他のプラットフォームではまだ販売することができます。
フィッシング攻撃を回避する方法
フランスのNefture Security社など多くの専門家が状況を調べ、この攻撃は「Seaport Signature」であると断定しています。このシグネチャーの背景は明かされていませんが、このサイトが悪意のあるもので、被害者を引き寄せるためだけに作られたものであることは明らかです。このことが何を意味するのか、そしてどのように防御を試みることができるのかを見てみましょう。
具体的には、このタイプの攻撃では、詐欺師は被害者に、実際にはOpenSeaマーケットプレイスにNFTを上場する権利を提供しているのに、古典的な承認取引に署名していると信じ込ませることができます。NeftureがKevin Rose事件を説明するスレッドで提示した署名の例です:
SeaPortの複雑な署名構造により、詐欺師は経験の浅いユーザーを騙して、フィッシングサイトを通じて@openseaの悪質なリストに署名させることが可能です。
サインをすると財布の中身を抜かれます
仕組み pic.twitter.com/y1i2dKN4fW
– Nefture Security – Private beta LIVE (@Nefture) January 25, 2023
..
Seaport署名は少し特殊で、OpenSeaに与えた以前の承認署名に基づいて、あるウォレットから別のウォレットにトークンを移動させることができます。したがって、詐欺師はあなたのNFTを販売または譲渡するすべての権利を無料で手に入れることができます。
したがって、自分を守るためには、Seaportの承認署名を見たときに、非常に警戒することが重要です。公式サイトであることを確認し、その署名が何のためのものかを調べてください。また、ミントページであれば、このような承認サインは絶対にしないようにしましょう。
最後に、何度もご紹介していますが、OpenSea
に付与した権利を取り消すには、迷わずRevoke Cashのウェブサイトをご利用ください。