在一次涉及加密貨幣的網路安全事件中,來自OpenSea資料庫的700多萬個電子郵件地址被線上盜取。這些地址最初是在2022年影響OpenSea的電子郵件自動化供應商Customer.io的一次資料洩露中曝光的,現已廣為人知,使客戶更容易成為網路釣魚和其他欺詐行為的受害者。
SlowMist的首席資訊保安官(CISO)23pds透露了這一資訊,突出了保護線上隱私資訊的持續和不斷變化的困難。
— 23pds (山哥) (@im23pds) January 13, 2025
還記得2024年OpenSea的郵件服務提供商遭到攻擊導致郵件洩露的事件嗎?經過多次傳播,目前洩露的郵件地址已被完全公開。請務必注意相關風險,警惕釣魚郵件和其他潛在的網路攻擊!@cz_binance的郵件地址也在其中:-) Remember the attack on the OpenSea mail service provider in 2024 that led to the… pic.twitter.com/LcOyFaFuAz
2022年發生了什麼?
這一安全漏洞是OpenSea在2022年6月發現Customer.io內部洩露後首次被發現的。一個未經授權的外部實體透過該員工獲得了OpenSea客戶電子郵件地址列表。在當時的公開宣告中,OpenSea建議之前向該平臺提供聯絡資訊的使用者假設他們的電子郵件地址已被洩露。
作為世界上最大的NFT市場之一,OpenSea因這一事件遭受了嚴重打擊。儘管調查與Customer.io和執法部門協調進行,但洩露的程度仍不得而知。即使被駭客資料最初是在私人圈子中共享的,但直到現在它才被公開。
我們的團隊一直在全力調查這次網路釣魚攻擊的具體細節。雖然我們還沒有確定確切的來源,但我們想分享一些最新進展:
— OpenSea (@opensea) February 21, 2022
完全資料釋出:當前狀況
據知名區塊鏈安全公司SlowMist最近的公告,被駭客攻擊的電子郵件資料庫現已公開在網上。根據23pds的說法,該資料集包含了來自各行各業的700多萬個電子郵件地址,其中包括公司、知名意見領袖和行業專家。
這一發現大大提高了風險。之前的洩露隻影響了有意尋找資料的人,但現在資料的公開性使全球各地的罪犯都可以獲取。SlowMist上傳到Telegram上的一個名為"opensea.io_mail_list.rar"的檔案包含了上述電子郵件地址。
對OpenSea使用者的影響
OpenSea使用者和更廣泛的加密社群將受到這些資料完全公開的嚴重影響。由於數百萬個電子郵件地址的可用性,網路罪犯有大量的潛在目標可以進行網路釣魚攻擊。攻擊者可以製造看似來自真實來源的詐騙性電子郵件,誘騙使用者洩露私鑰或錢包憑證。
網路釣魚一直是網路罪犯使用的最有害的策略之一。CertiK報告稱,2024年僅網路釣魚事件就造成了超過10億美元的損失。由於許多受害者不會報告此類犯罪,這些數字可能無法準確反映問題的規模。被洩露資料中包含知名人士和機構,增加了高價值攻擊的可能性。
加密生態系統的更廣泛問題
這一事件突出了加密貨幣生態系統依賴外部服務提供商的弱點。隨著這些技術的普及,支撐加密貨幣和區塊鏈的基礎設施變得越來越複雜。不幸的是,正如OpenSea電子郵件駭客事件所示,複雜性的增加帶來了新的風險。
這種資料洩露不僅損害了消費者信心,也表明加密貨幣行業迫切需要建立強大的安全程式。網路安全現已成為該行業長期成功和形象的首要任務和關鍵組成部分。
使用者建議:保護自己免受網路釣魚
鑑於最新事件,23pds釋出了一些實用建議,幫助使用者降低洩露資料帶來的風險。這些安全措施對於保護隱私資料、降低成為網路釣魚受害者的風險至關重要。
其中一個主要建議是為每個平臺建立強大、獨特的密碼。密碼管理器可以成為安全儲存和處理這些憑證的有用工具。另一個重要步驟是啟用雙因素認證(2FA),並優先使用認證器應用程式而不是更容易被駭客攻擊的簡訊2FA。
使用者應該警惕可疑的電子郵件。這包括避免下載來歷不明的附件或開啟連結。定期更新軟體也很重要,因為過時的作業系統和應用程式通常是安全漏洞的來源。
不斷變化的威脅格局
在資訊透過網際網路渠道快速傳播的時代,一個起初受控的事件可能會迅速失控。網路安全專家警告,隨著加密貨幣市場的擴張,針對其使用者的攻擊複雜性和規模也將不斷增加。
CertiK 2024年的報告支援了這一趨勢,顯示網路釣魚已成為加密市場中最昂貴的攻擊方式。OpenSea事件增加了更多複雜性,因為攻擊者可以透過資料公開輕鬆發動高度針對性的攻擊。
儘管該公司迅速通知受影響使用者並聯系執法部門,但駭客事件的長期影響仍突出了採取主動而非被動的網路安全方法的必要性。
本文最初發表於Metaverse Post。
