人気NFT数十点がモバイルウォレットから不正流出、OpenSeaで売却される

NFTハッキング被害か

3月22日、著名投資家のNFT（非代替性トークン）が、モバイルウォレットのハッキングにより盗まれた疑いが浮上した。

ブロックチェーンデータによると、DeFiance CapitalのファウンダーであるArthur0xが管理するアドレスから、アニメアート系NFTの「AZUKI」やクローン化した人間をテーマにした「CloneX」を含む20点以上のNFTが外部へ転送されている。

The NFTs of Arthur, founder of DeFiance Capital, was hacked. The suspected reason was that the mobile hot wallet was attacked. In the past three hours, more than 20 NFTs, including Azuki and CLONE X, were transferred to the hacker address. pic.twitter.com/XwaF3rXkKA

— Wu Blockchain (@WuBlockchain) March 22, 2022

Arthur0xは自身のツイッターで事態を認めており、不当に秘密鍵（あるいはシードフレーズ）にアクセスされた可能性を指摘。ポートフォリオ企業を装ったEメールによる「標的を絞ったソーシャルエンジニアリング攻撃」が原因と推測している。

Found out the likely root cause for the exploit, it's a targeted social engineering attack. Received a spear-phishing email that really seems to be sent by one of our portco with content that seems like general industry-relevant content.

They are likely targeting all crypto peep pic.twitter.com/SegYBcoLX2

— Arthur 🌔⛩️🦔👻 (@Arthur_0x) March 22, 2022

NFTの行方

すでに多くのNFTは、最大手NFTマーケットプレイスのOpenSeaで売却されている。執筆時点、ハッカーのアドレスにはイーサリアム（ETH）のラップ版、537 WETH（175万ドル、約1億9000万円相当）が残されている。ブロックチェーンエクスプローラーEtherscan上でハッカーのアドレスは「Arthur0x’s walletへの攻撃者」と警告されている。

過去数か月間に、高額で売買されるNFTを標的とするフィッシング詐欺の事例が増加している。今年2月には、OpenSeaのユーザーを対象としたフィッシング詐欺が発生。計32のユーザーアカウントから、Bored Ape Yacht Club（BAYC）やAzuki、Clone Xなど、総額3億円以上（300万ドル）相当のNFTが不正流出した。

犯人はOpenSeaが送付したEメールを模倣して、偽リンクからユーザーの個人情報（コントラクト署名）を引き出したと見られている。

関連：OpenSea、フィッシング詐欺で3億円相当のNFTが不正流出か