Пользователи крупнейшей торговой площадки невзаимозаменяемых токенов (NFT) OpenSea заявили, что стали объектом новой фишинговой атаки по электронной почте, и получили электронные письма, содержащие вредоносные ссылки, от злоумышленников, выдающих себя за саму торговую площадку.
Согласно сообщениям в социальных сетях, пользователи и разработчики OpenSea стали жертвами различных фишинговых кампаний по электронной почте, включая фальшивое предупреждение о риске для учетной записи разработчика и фальшивое предложение NFT.
Один разработчик OpenSea 13 ноября обратился в X (ранее Twitter) и сообщил о попытке фишинга на электронное письмо, строго посвященное их ключу интерфейса прикладного программирования (API) OpenSea. «Другими словами, контакты разработчиков были похищены из OpenSea и являются настоящей целью этой кампании», — говорилось на плакате.
Сообщение в социальных сетях появилось в ответ на заявления OpenSeas о том, что платформа не была взломана, и на призыв пользователей не нажимать на ссылки, которым они не доверяют.
Правильно: уязвимости смарт-контракта нет. Но, к сожалению для @opensea, я только что получил попытку фишинга на электронное письмо, которое было строго посвящено моему ключу API OpenSea. Другими словами, контакты разработчиков были похищены из OpenSea и являются настоящей целью этой кампании https://t.co/GD4UgwWIrx pic.twitter.com/rtyUJBMlwl
– Количество (@quantity) 13 ноября 2023 г.
Другой пользователь OpenSea обратился в Reddit, чтобы выразить недоумение по поводу продолжающейся фишинговой кампании 14 ноября.
«Я не использовал OpenSea в течение многих лет, и внезапно я продолжаю получать электронные письма с сообщениями о том, что мои списки NFT получают предложения», — написал автор, добавив, что все уязвимые ссылки пытались направить читателя на установку вредоносного приложения.
«Сейчас я получаю 3-4 мошеннических/фишинговых письма в день, и это безумие, поскольку всего несколько недель назад я не получил ни одного письма», — написал Redditor, добавив:
«Итак, мой вопрос заключается в том, произошло ли что-то новое с OpenSea. Мой адрес электронной почты, на который они обращаются, я создал специально для OpenSea, поэтому меня это не беспокоит, но я знаю, что OpenSea раньше подвергалась взломам. Они только сейчас просматривают мою электронную почту или есть что-то еще? новый?"
Эта новость появилась через несколько недель после того, как один из сторонних поставщиков OpenSea столкнулся с инцидентом безопасности, в результате которого была раскрыта информация, связанная с ключами пользовательского API. OpenSea сообщила о взломе в электронном письме с уведомлением затронутым пользователям в конце сентября 2023 года, заявив, что в результате атаки могла произойти утечка электронных писем пользователей и ключей API разработчика.
Хорошо выбирайте третье лицо…
— 23pds (@IM_23pds) 23 сентября 2023 г.
Opensea сообщила, что поставщик подвергся атаке, что привело к утечке ключей API разработчиков!
Прежде чем сделать выбор, посоветуйтесь с профессиональным консультантом по безопасности о безопасности третьих лиц. Например. @SlowMist_Team pic.twitter.com/jcBJ9IaAEN
Пользователи OpenSea ранее получали фишинговые электронные письма. В феврале 2022 года OpenSea официально подтвердила, что ее платформа подверглась фишинговой атаке за пределами веб-сайта OpenSea, и призвала пользователей не нажимать на какие-либо ссылки в электронных письмах. Фирма также расследовала слухи об эксплойте, связанном со смарт-контрактами, связанными с OpenSea.
OpenSea не сразу ответила на запрос Cointelegraph о комментариях.
Эта последняя фишинговая кампания проводится сразу после того, как OpenSea уволила 50 % своего персонала с заявленным намерением запустить OpenSea 2.0 с меньшей командой.
Эта атака является еще одним напоминанием криптовалютному сообществу о необходимости сохранять бдительность при получении электронных писем от поставщиков услуг. Чтобы избежать фишингового взлома, пользователи должны внимательно следить за подлинностью отправителя электронного письма и связанных с ним ссылок. Пользователи также должны помнить, что криптофирмы никогда не запрашивают у своих пользователей личные данные, такие как адреса кошельков или закрытые ключи.
Журнал: Как защитить вашу криптовалюту на волатильном рынке — мнения экспертов и экспертов по биткойнам
Источник