黑客从OpenSea Marketplace的用户那里窃取了价值170万美元的NFT

恶意参与者利用OpenSea NFT marketplace的智能合约升级过程，对其17名用户进行了钓鱼攻击，导致价值约170万美元的虚拟资产被盗。

NFT是不可替代代币的缩写，是数字代币，其作用类似于真实性证书，在某些情况下代表资产的所有权，这些资产包括昂贵的插图、收藏品和实物。

这一机会主义的社会工程骗局欺骗了用户，它使用来自OpenSea的同一封电子邮件通知用户升级，复制邮件将受害者重定向到一个相似的网页，促使他们签署一项看似合法的交易，结果一次就偷走了所有NFT。

Check Point研究人员解释说：“通过签署交易，一个原子匹配请求将被发送到攻击者的合同中。”。“从那里，原子匹配将被转发到OpenSea合同中，”从而将NFT从受害者转移给攻击者。

OpenSea的“Wyvern”智能合约迁移于2月18日开始，为期七天，直到美国东部时间2月25日下午2:00，是这家总部位于纽约市的公司努力解决以太坊区块链上旧的、现有的非活动列表的一部分。

该公司表示，仍在调查攻击的确切来源，并指出，在OpenSea进行迁移之前，受害者已经签署了恶意命令。OpenSea在更新中表示：“攻击似乎不再活跃，但我们仍在继续监控。我们已经36小时没有看到攻击者钱包中的活动。”。

Check Point表示：“签署交易类似于允许某人访问您的所有NFT和加密货币。”。“这就是为什么签署非常危险。请特别注意在何时何地签署交易。”

与此同时，网络犯罪分子正在利用NFT的普及率增长诱骗受害者下载BitRAT remote access特洛伊木马恶意软件，该恶意软件能够窃取浏览器凭据、挖掘加密货币和获取敏感信息。