事件始末｜駭客得手170萬美金，被OpenSea釣魚信嚇到？官方建議可用來Revoke保護

釣魚信是最常見的駭客攻擊手法之一，製造惡意連結，放在「假冒」的信件或社群中，誘使用戶點入，導致資料或金錢損失。由於加密貨幣應用的操作都直接與金融行為有關，因此一但誤觸釣魚陷阱，有可能造成大量損失。

市場占比第一的 NFT 市場 OpenSea，由於最近更新協議，要求想要持續掛單賣出 NFT 的用戶，需「遷移上架」(Migrate listings)，否則現有的賣單都將在 2/26 失效，需要重新掛單。(詳情與操作步驟請見)

不料此事成為駭客的目標，利用遷移事件，製造假冒的釣魚信件，誘使用戶點入「migration」(遷移) ，讓駭客能盜走你的 NFT。(傳出有釣魚信的推特貼文見此)

OpenSea 官方則表示正在主動調查這起傳言，這項攻擊顯然是由 OpenSea 外部網站發起，請用戶切勿點選 http://opensea.io 之外的網站。

目前在 OpenSea 的網頁中也提示了此事件，要用戶切勿點選站外連結：

據 OpenSea 執行長 Devin Finzer 表示：攻擊者賣出盜來的 NFT，得手約 170 萬美元價值的 ETH 。據資安公司 PeckShield 被盜 NFT 清單請見連結。ERC-721 有 253 筆，ERC-1155 有 60 筆。

OpenSea 執行長的澄清與建議

OpenSea 執行長 Devin Finzer 首先說明情況：

• 這是釣魚攻擊，與 OpenSea 網站無直接關係。(因有網路傳言為 OpenSea 智能合約遭到攻擊)
• 共有 32 個用戶簽署了惡意合約中的功能，導致部分 NFT 遭竊 ; 有些則是已歸還
• OpenSea 最近沒有發現有相關的釣魚信，此次的事件也還不知道是由哪個網站給出惡意連結
• 想了解更多攻擊者的技術細節請見：解釋

擔心 NFT 安全的建議

• 每次在簽署合約時，都要再次確認是與 https://opensea.io 互動
• 如果已經受害請聯繫 @opensea_support
• 如果擔心並且想要保護自己的 NFT，可以「取消許可」(un-approve)，停止外界與 NFT 的互動權限。

如何使用 Etherscan 的取消許可？

Ethereum Token Approval 可以幫助你了解一個錢包地址中，與哪些協議做過許可簽署 (approved)。以下圖為例，我們輸入的地址中，所有擁有的資金與 NFT 數量如下，它告訴你共有此錢包與 76 個合約曾簽署許可。 

選擇 NFT 的常見通用標準，ERC-721 或 ERC-1155 列表，可以看見有哪些已許可合約。按下 Connect to Web3 之後，即可與錢包連結，執行 Revoke (撤回)，即花費 Gas Fee 將曾許可合約的權限降為 0。