非代替性トークン(NFT)売買プラットフォーム大手のOpenSeaで新たな大規模フィッシング攻撃が発生しました。今回の攻撃の被害者は32人、被害総額は170万ドル(約2億円)超と見積もられています。

$1.7 million in NFTs stolen in apparent phishing attack on OpenSea users - The Verge

https://www.theverge.com/2022/2/20/22943228/opensea-phishing-hack-smart-contract-bug-stolen-nft

これまでOpenSeaではフィッシング攻撃が続発しており、このことから同社は一連のフィッシング攻撃の原因となったスマートコントラクトのプロトコル「Wyvern Protocol」を置き換えるアップデートを予定していました。

2022年2月19日に発生した新たなフィッシング攻撃は、OpenSeaがアップデートを行う最中の隙を突いたもの。具体的な手口については調査中とのことですが、OpenSeaが修正しようとしていたWyvern Protocolの「大部分が白紙状態の売買契約書を送付できる」という、いわば白紙の小切手を送りつけられる仕様を利用し、被害者に署名だけ行わせて攻撃者側で落札額をゼロに設定するという手法が採られたとみられています。

被害総額については2億ドル(約230億円)という臆測も流れましたが、公式はこれを否定。2022年2月20日時点では「被害者は32人、被害総額は170万ドル(約2億円)相当」とアナウンスされています。





2021年を象徴する単語にも選ばれ、バブルとも評されるほどの人気の過熱を見せているNFTですが、その取引プラットフォームの中でもOpenSeaは直近の資金調達ラウンドで130億ドル(約1兆5000億円)超という評価を受けて3億ドル(約350億円)の新規調達に成功し、並み居るプラットフォームの中でも屈指の地位にいると目されています。

相次ぐフィッシング攻撃について、同社はWyvern Protocolの移行先のプロトコルについてはフィッシング攻撃がはるかに行いにくくなっているとと述べ、プロトコルの置換によってセキュリティが向上したことを強調しています。

今回の一件についてナダブ・ホランダーCTOは、被害を受けたユーザーを積極的に支援するという声明を発しました。