Користувачі основного ринку невзаємозамінних токенів (NFT) OpenSea заявили, що піддалися новій фішинговій атаці електронної пошти, і отримали електронні листи зі зловмисними посиланнями від зловмисників, які видавали себе за сам ринок.
Згідно з повідомленнями в соціальних мережах, користувачі та розробники OpenSea стали мішенню для різних фішингових кампаній електронною поштою, включно з підробленим попередженням про ризики облікового запису розробника та підробленою пропозицією NFT.
Один розробник OpenSea звернувся до X (раніше Twitter) 13 листопада, щоб повідомити про спробу фішингу на електронний лист, суто присвячений їхньому ключу OpenSea Application Programming Interface (API). «Іншими словами, контакти розробників були викрадені з OpenSea і є справжньою ціллю цієї кампанії», — йдеться на плакаті.
Звіт у соціальних мережах став відповіддю на те, що OpenSea наполягає на тому, що платформа не була зламана, і закликає користувачів не натискати посилання, яким вони не довіряють.
Correct- there is no smart contract vuln. But unfortunately for @opensea I just received a phishing attempt, to an email that was strictly dedicated to my OpenSea API key. In other words, dev contacts have been exfiltrated from OpenSea and are the real target in this campaign https://t.co/GD4UgwWIrx pic.twitter.com/rtyUJBMlwl
— Quantity (@quantity) November 13, 2023
Інший користувач OpenSea звернувся до Reddit, щоб висловити збентеження щодо триваючої фішингової кампанії 14 листопада.
«Я не використовував OpenSea протягом багатьох років, і раптом я постійно отримую електронні листи про те, що мої списки NFT отримують пропозиції», — написав автор, додавши, що всі вразливі посилання намагалися спрямувати читача встановити шкідливу програму.
«Зараз я отримую 3-4 шахрайські/фішингові електронні листи на день, і це божевілля, оскільки всього кілька тижнів тому я не отримав жодного», — написав Redditor, додавши:
«Тож моє запитання полягає в тому, чи сталося щось нове з OpenSea. Мою адресу електронної пошти, на яку вони звертаються, я створив спеціально для OpenSea, тому мене це не хвилює, але я знаю, що OpenSea раніше зламувала. Вони щойно надійшли на мій електронний лист чи є новий?»
Ця новина з’явилася через кілька тижнів після того, як один із сторонніх постачальників OpenSea зазнав інциденту безпеки, який розкрив інформацію, пов’язану з ключами API користувача. Наприкінці вересня 2023 року OpenSea повідомила про порушення в електронному листі постраждалим користувачам, зазначивши, що через атаку міг статися витік електронних листів користувачів і ключів API розробників.
Choose your third party well…
Opensea posted that a vendor was attacked, resulting in the leak of developers' API keys!
Get advice from a professional security consultant about the safety of the third party before choosing. E.g. @SlowMist_Team pic.twitter.com/jcBJ9IaAEN— 23pds (@IM_23pds) September 23, 2023
Користувачі OpenSea вже отримували фішингові електронні листи. У лютому 2022 року OpenSea офіційно підтвердила, що її платформа зіткнулася з фішинговою атакою з-за меж веб-сайту OpenSea, і закликала користувачів триматися подалі від будь-яких посилань у електронних листах. Фірма також розслідувала чутки про експлойт, пов’язаний зі смарт-контрактами, пов’язаними з OpenSea.
За темою: китайські хакери використовують підроблений додаток Skype для націлювання на користувачів криптовалюти в новому фішинговому шахрайстві
OpenSea не відразу відповіла на запит Cointelegraph про коментар.
Ця остання фішингова кампанія відбувається одразу після того, як OpenSea звільнила 50% свого персоналу з заявленим наміром запустити OpenSea 2.0 меншою командою.
Ця атака є ще одним нагадуванням для криптовалютної спільноти залишатися пильними, отримуючи електронні листи від постачальників послуг. Щоб уникнути фішингу, користувачі повинні бути обережними щодо автентичності відправника електронної пошти та пов’язаних посилань. Користувачі також повинні пам’ятати, що криптовалютні фірми ніколи не запитують у своїх користувачів особисті дані, такі як адреси гаманців або закриті ключі.
