据多名用户反馈，由于OpenSea昨日推出的新迁移合约（地址：0xa2c0946aD444DCCf990394C5cBe019a858A945bD）出现BUG，导致攻击者（地址：0x3e0defb880cd8e163bad68abe66437f99a7a8a74）利用该bug窃取大量NFT并卖出套利，失窃 NFT 涵盖 BAYC 、 BAKC 、 MAYC 、 Azuki 、 Cool Cats 、 Doodles 、 Mfers 等多个蓝筹系列。

名为“Jon_HQ”的用户指出，攻击者仅花费了 750 美元的 GAS 费，便利用 OpenSea 漏洞“免费购买”大量蓝筹 NFT，其中包括 4 个 Azuki、2 个 Coolman、2 个 Doodle、1 个 BAYC等。

美国时间周六晚，OpenSea在推特上发帖称：“我们正在积极调查与OpenSea相关的智能合约存在漏洞的传言。这似乎是源自OpenSea网站之外的网络钓鱼攻击。不要点击opensea.io之外的链接。”

美东时间晚上 10 点 50 分左右，OpenSea 首席执行官 Devin Finzer 在推文中跟进说：“迄今为止，已有 32 位用户签署了来自攻击者的恶意交易，并且他们部分 NFT 被盗了。”他补充说，该公司“不知道最近有任何网络钓鱼电子邮件已发送给用户”，并暗示欺诈网站可能是罪魁祸首。

区块链安全公司 PeckShield 表示，传闻中的漏洞利用“很可能是网络钓鱼”——一种隐藏在伪装链接中的恶意合约。

OpenSea现在已经证实发生的是一次网络钓鱼攻击，超过170万美元的资产转移到了恶意钱包上，现在标记为 Fake_Phishing5169。

这个恶意钱包在去年12月进行了第一笔交易，但有关钓鱼活动的报道直到昨天才开始。这个钱包还与另一个被标记为OpenSea网络钓鱼骗局的钱包有关联。

在过去的24小时里，大量底价很高的NFT收藏品被转移，如Bored Ape Yacht Club NFT、Cool Cats、Doodles 和 Azuki NFT。Fake_Phishing5169 地址还通过竞争对手 NFT 市场 Rarible 和 LooksRare 进行了交易。

OpenSea 首席执行官 Devin Finzer 表示：“我们确信这是一次网络钓鱼攻击。我们不知道网络钓鱼是在哪里发生的。”但该公司认为，攻击不是来自OpenSea的域名。

Finzer 说，“使用 opensea.io 铸造、购买、出售或列出物品不是攻击的媒介。特别是，签署新的智能合约（Wyvern 2.3 合约）不是攻击的载体，”

他补充说：“我们正在积极与物品被盗的用户合作，以缩小他们与之互动的一组常见网站的范围，这些网站可能是造成恶意签名的原因。”

Finzer 表示，虽然攻击者的活动出现间歇性停顿，但 OpenSea 仍在继续调查情况。他还证实，推特用户 Neso 的帖子与他对所发生事情的理解“一致”。Neso 表示，那些丢失资产的人签署了一半有效的 Wyvern 订单，这是一个可以执行资产转移的去中心化交易协议。

推特用户 @lazulcapital 发推称，OpenSea 开发者也遭受钓鱼攻击。

PeckShield 在社交媒体发布相关交易记录表示，OpenSea漏洞事件攻击者已将攻击所得部分NFT出售获利后，已经向混币器Tornado发送1100枚ETH进行洗钱。据统计已经有包括3只Bored Ape、25个NFTWorlds、37个Azuki等近百个NFT遭到被盗, 按照地板价计算，黑客至少获取了420万美元。

不管攻击的来源是什么，有些人对交易感到困惑。例如，为什么网络钓鱼诈骗者在拿走了他的一些资产然后归还之后，向 naterivers.eth 发送了 50 个以太坊（132,597 美元）？为什么 Tornado Cash 代理会隐藏某些目的地地址，而有些则不会？

为防止不必要的 NFT 和以太坊代币丢失，最好通过 Etherscan 的代币审批功能撤销访问权限，并考虑将有价值的资产转移到硬件钱包中。