NFT（Non-Fungible Token），中文稱為非同質化代幣，是一種可以在區塊鏈上出售與交易的數位資產，一般應用於遊戲及數位收藏品。OpenSea 為全球最大的 NFT 交易平台，但近日來自 CheckPoint 的研究團隊卻發現，這個平台上存在的缺陷，可讓駭客透過發送惡意 NFT 來劫持用戶帳戶並竊取加密貨幣錢包。

攻擊者以 NFT 空投的方式吸引受害者。空投為將數位資產免費發放給使用者，一般使用者只需要完成分享新聞、或是介紹朋友等簡單的任務即可獲得免費的數位資產。在 OpenSea 上的攻擊者就是使用這種方式，將空投的惡意 NFT 發送給潛在受害用戶。當用戶點擊並查看收到的 NFT 時，會出現一個提示窗口，要求使用者簽名以連結到加密貨幣錢包，隨後再出現第二次的簽名請求提示，若使用者按下接受，駭客便能夠訪問用戶的加密貨幣錢包並盜走資金。

由於攻擊場景位於 OpenSea 本身的伺服器上，且這些被要求的操作與其他 NFT 交易平台上的操作很相似，因此用戶很有可能輕易上當。研究人員於 9 月 26 日向 OpenSea 揭露這個漏洞，OpenSea 在不到一個小時就對安全問題進行分類和驗證，並部署了修復程序。

OpenSea 在一份聲明中表示：

「安全是 OpenSea 的基礎。我們感謝 CPR 團隊提醒我們注意這個漏洞，並在我們調查此事，且在之後的一小時內實施修復時與我們合作。

此攻擊需要用戶透過第三方錢包提供商連接他們在平台商錢包，並為惡意交易提供簽名實現。」

不過，OpenSea 補充，目前組織尚未發現任何此漏洞被利用的跡象。

 

參考資料：
https://threatpost.com/opensea-nfts-cryptowallet-balances/175453/
https://www.zdnet.com/article/bugs-allowing-malicious-nft-uploads-uncovered-in-opensea-marketplace/