주요 NFT(Nonfungible Token) 마켓플레이스인 OpenSea의 사용자들은 새로운 이메일 피싱 공격의 표적이 되었으며 마켓플레이스를 사칭하는 공격자들로부터 악성 링크가 포함된 이메일을 받았다고 밝혔습니다.
에 따라 소셜 미디어 보고서에 따르면 OpenSea 사용자와 개발자는 가짜 개발자 계정 위험 경고 및 가짜 NFT 제안을 포함한 다양한 이메일 피싱 캠페인의 표적이 되었습니다.
한 OpenSea 개발자는 11월 13일 X(이전의 Twitter)에 자신의 OpenSea 애플리케이션 프로그래밍 인터페이스(API) 키 전용 이메일에서 피싱 시도를 받았다고 보고했습니다. “즉, 개발자 연락처가 OpenSea에서 유출되었으며 이 캠페인의 실제 표적이 됩니다.”라고 게시물은 읽었습니다.
이 소셜 미디어 보고서는 플랫폼이 해킹되지 않았다는 OpenSea의 주장과 사용자들에게 신뢰하지 않는 링크를 클릭하지 말 것을 촉구한 것에 대한 응답으로 나왔습니다.
맞습니다. 스마트 계약 취약점은 없습니다. 그러나 불행히도 @opensea 방금 내 OpenSea API 키 전용 이메일로 피싱 시도를 받았습니다. 즉, 개발자 연락처가 OpenSea에서 유출되었으며 이 캠페인의 실제 목표입니다. https://t.co/GD4UgwWIrx pic.twitter.com/rtyUJBMlwl
— 수량(@수량) 2023년 11월 13일
다른 OpenSea 사용자가 Reddit을 방문하여 표현하다 11월 14일 진행 중인 피싱 캠페인에 대한 혼란.
“몇 년 동안 OpenSea를 사용하지 않았는데 갑자기 내 NFT 목록이 제안을 받고 있다는 이메일을 계속 받았습니다.”라고 포스터는 적었습니다. 모든 취약한 링크는 독자가 악성 앱을 설치하도록 유도하려고 한다고 덧붙였습니다.
Redditor는 “지금 하루에 3~4통의 사기/피싱 이메일을 받고 있습니다. 불과 몇 주 전에는 전혀 이메일을 받지 못한 이후로 말도 안 되는 일입니다.”라고 덧붙였습니다.
“그래서 내 질문은 OpenSea에 새로운 일이 일어났는가 하는 것입니다. 그들이 공격하는 내 이메일 주소는 OpenSea를 위해 특별히 만든 주소이므로 걱정하지 않아도 됩니다. 하지만 이전에 OpenSea가 해킹을 당한 적이 있다는 것을 알고 있습니다. 지금 막 내 이메일을 확인하고 있는 건가요, 아니면 새로운 이메일이 오는 건가요?”
이 소식은 OpenSea의 제3자 공급업체 중 한 곳이 사용자 API 키와 관련된 정보를 노출한 보안 사고를 경험한 지 몇 주 후에 나왔습니다. OpenSea는 2023년 9월 말에 영향을 받은 사용자에게 알림 이메일을 통해 위반 사실을 보고했으며, 공격으로 인해 사용자 이메일과 개발자 API 키가 유출되었을 수 있다고 밝혔습니다.
제3자를 잘 선택하세요…
Opensea는 공급업체가 공격을 받아 개발자의 API 키가 유출되었다고 게시했습니다!
제3자의 안전에 대해 선택하기 전에 전문 보안 컨설턴트의 조언을 구하세요. 예: @SlowMist_팀 pic.twitter.com/jcBJ9IaAEN– 23pds (@IM_23pds) 2023년 9월 23일
OpenSea 사용자는 이전에 피싱 이메일을 받은 적이 있습니다. 2022년 2월, OpenSea는 자사 플랫폼이 OpenSea 웹사이트 외부에서 피싱 공격을 당했음을 공식적으로 확인하고 사용자에게 이메일에 포함된 링크를 클릭하지 말 것을 촉구했습니다. 또한 회사는 OpenSea 관련 스마트 계약과 관련된 공격에 대한 소문을 조사하고 있었습니다.
OpenSea는 Cointelegraph의 논평 요청에 즉시 응답하지 않았습니다.
이 최신 피싱 캠페인은 OpenSea가 소규모 팀과 함께 OpenSea 2.0을 출시하려는 의도로 직원의 50%를 해고한 직후에 발생하고 있습니다.
이 공격은 암호화폐 커뮤니티가 서비스 제공자로부터 이메일을 받을 때 경계심을 유지해야 한다는 또 다른 신호입니다. 피싱 해킹을 방지하려면 사용자는 이메일 보낸 사람의 진위 여부와 관련 링크에 주의해야 합니다. 또한 사용자는 암호화폐 회사가 사용자에게 지갑 주소나 개인 키와 같은 개인 데이터를 요청하지 않는다는 점을 기억해야 합니다.