NFTマーケットプレイスOpenSea、3億円相当のフィッシング詐欺被害

大手NFTマーケットプレイスOpenSeaは2月20日、OpenSeaユーザーを対象としたフィッシング詐欺が生じたことを明らかにした。今回のフィッシング詐欺により、32個のユーザーアカウントから合計3億円相当のNFTが流出したとされている。

フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、重要な個人情報を盗み出す行為である。

これまでに、Bored Ape Yacht Club NFT、Cool Cats、Doodles、Azuki NFTなどの高価格帯で取引されているNFTコレクションを保有していたユーザーが被害を受けている。

被害の原因として、一部のユーザーは、OpenSeaが2月上旬に公表したイーサリアム上で取引されていないNFTに掲載期限を設ける新たなスマートコントラクトの脆弱性を挙げていた。しかし、OpenSeaのCEO Devin Finzer氏はこの憶測を否定している。

今回の件に関してFinzer氏は、「我々は、これがフィッシング攻撃であったと確信している。しかし、フィッシング攻撃がどこで発生したかはわからない。」とコメントした。

フィッシング攻撃は、ドメインやメール等のOpenSeaサイト内部を利用したものではなく、犯人が送信した不正な外部リンクを利用したものであるとして、OpenSeaは引き続き調査を進めている。

また、OpenSeaのCTO Nadav Hollander氏も、フィッシング攻撃に関する技術的分析を自身のTwitterで公表している。Hollander氏によると、今回の犯人は過去にOpenSeaが送付したEメールを模倣して偽リンクを送付することで、ユーザーの個人情報を引き出したとされている。

さらにHollander氏は、シードフレーズの共有やトランザクションの確認などの注意喚起は業界内で浸透しつつあるが、今後はメール等のオフチェーンのメッセージに関しても同様の考慮が必要であると訴えている。