OpenSea、フィッシング詐欺で3億円相当のNFTが不正流出か

NFT標的のフィッシング詐欺

大手NFT（非代替性トークン）マーケットプレイスのOpenSeaは20日、同サイトのユーザーを対象としたフィッシング詐欺が発生したと発表した。計32のユーザーアカウントから総額3億円以上（300万ドル）相当のNFTが不正流出した疑いがある。

We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022

フィッシング詐欺とは

偽リンクから利用者を騙し、偽のホームページに誘導して、認証情報やクレジットカード番号、口座情報（ユーザID、パスワード等）といった重要な個人情報を詐取するサイバー犯罪。

▶️仮想通貨用語集

事件の経緯

SNSでは20日に、OpenSeaユーザーを対象としたフィッシング詐欺が発生しているとの憶測がSNS上で飛び交った。

OpenSeaは2月上旬、イーサリアム上で取引されていないリスティングに期限を設ける新たなスマートコントラクト導入を発表していたため、このスマートコントラクトの脆弱性を突いた動きとの指摘もあった。

しかし、OpenSeaのDevin Finzer CEOはこの憶測を否定。「（現段階では）フィッシング攻撃が発生したものと考えられる」と声明を発表。攻撃はOpenSeaのサイト内部を利用したものではなく、犯人が送信した不正な外部リンクを利用したものだと説明した。

As far as we can tell, this is a phishing attack. We don’t believe it’s connected to the OpenSea website. It appears 32 users thus far have signed a malicious payload from an attacker, and some of their NFTs were stolen.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022

また、20日時点では不正流出したNFTを売却して犯人が得た利益（被害額）は170万ドル（約2億円）に上っているとFinzer氏は指摘。オンチェーン分析サイトEtherscan上で発見された犯人のものと考えられるアドレスでは、事件前後でイーサリアム（ETH）の保有量が急増していた。

出典：Etherscan

OpenSea側もスマートコントラクトの脆弱性を突いた攻撃ではなく、フィッシング詐欺である説が有力であると説明。正規の公式サイト以外のURLリンクはクリックしないよう、ユーザーに呼びかけた。

なお、引き続き捜査を積極的に続けているとしたが、SNSの投稿以外では事件の経緯を説明する公式な声明を発表していない。

盗難されたNFTの中にはBored Ape Yacht Club（BAYC）やAzuki、Clone Xなどの人気NFTプロジェクトが多数含まれていたことが確認されている。

CTOの解説

また、OpenSeaのNadav Hollander CTOもツイッター上でフィッシング攻撃の技術的側面を分析。犯人は過去にOpenSeaが送付したEメールを模倣して、偽リンクからユーザーの個人情報（コントラクト署名）を引き出したと述べた。

– All of the malicious orders contain valid signatures from the affected users, indicating that they did sign an order somewhere, at some point in time. However, none of these orders were broadcasted to OpenSea at the time of signing.
— Nadav Hollander (@NadavAHollander) February 20, 2022

また、NFT流出被害にあった32のユーザーは全て短期間の間に被害が発生したため、システム上の問題ではなく事前に対象を絞って実行された標的型攻撃であると指摘した。

Hollander氏はシードフレーズの共有などに関する啓蒙活動は業界で積極的に普及しているものの、オフチェーンのメッセージへの署名についても注意喚起が課題であると痛感したと説明。また、フィッシング詐欺はOpenSea内部で発生した事件ではないものの、引き続き被害ユーザーと連携して、「さらなる支援を提供する方法を検討していく」と語った。

NFT市場は2022年も盛況を見せており、1月には過去最高の月間取引量を記録したばかり。OpenSeaは長らく最多のNFT取引量を誇る電子市場としての地位を保っているが、1月には新興プラットフォームのLooksRareも台頭していた。