NFT（non-fungibleトークン）の人気が高まるにつれ、この分野のユーザーを常に搾取しようとする悪質業者の活動が活発になっています。今、NFTマーケットプレイスOpenSeaの機能に関わる新たなハッキングが、フィッシングサイトを通じてNFT保有者を脅かしている。

盗難防止プロジェクトHarpieは、発表の中で、OpenSeaプラットフォームのガスなし販売に関わる新たなハッキングについて、NFTユーザーに警告を発しました。Harpieによると、ハッカーはこの機能を悪用し、数百万ドルのデジタル資産を盗むことができたという。

ユーザーがOpenSeaプラットフォーム内でガス抜き販売を行いたい場合、読めないメッセージ付きの署名リクエストを承認する必要があります。この機能により、ユーザーは読み取り不可能な署名を使ったプライベートオークションの作成も許可されるようになります。

ハッカーは、あまり知られていないOpenSeaの機能を使って、魔法のようにNFTを盗むことができるようになったのです。最新のハッキングで、すでに何百万ものApesが失われています。

(1/4) pic.twitter.com/fTK20WQrgh

— Harpie (@harpieio) December 22, 2022年12月22日

このため、フィッシングサイトはこの機能を利用して、被害者に読めないメッセージの一つに署名するよう求めている。Harpieによると、署名はしばしば、ウェブサイトにログインしてアクセスするために必要なステップを装っています。

しかし、ログインメッセージは、実際には、被害者のNFTを0イーサ（ETH）で詐欺師にプライベートセールするための署名要求です。署名されると、ハッカーのウォレットアドレスにNFTが送信されます。

関連記事:プロジェクトは報奨金を払うよりハッキングされる方がいい、Web3開発者が主張

この詐欺とは別に、ブロックチェーンセキュリティ企業のCertiKも最近、暗号コミュニティに対してアイスフィッシングと称するものについての警告を発しました。このエクスプロイトを通じて、詐欺師はWeb3ユーザーを騙して、攻撃者がトークンを使用できるような許可に署名させます。CertiKは、この詐欺は重大な脅威であり、Web3の世界に特有のものであると指摘しています。

12月17日、あるアナリストは、ある詐欺師がガスのないSeaport署名機能を使い、14個のBored Ape NFTを盗んだとする話を持ち出しました。ハッカーは、徹底的なソーシャルエンジニアリングを行った後、被害者を偽のNFTプラットフォームに誘導し、契約書にサインするよう求めました。この後、被害者の財布から資金が流出しました。