2月20日上午，“OpenSea 新迁移合约疑似出现漏洞，导致大量高价值 NFT 被窃取”一事引发热议。

据美国消费者新闻与商业频道 CNBC 报道，NFT 市场 OpenSea 首席执行官 Devin Finzer 上周六（当地时间2月19日）晚些时候表示，OpenSea 正在调查一起黑客攻击事件，部分用户价值 170 万美元的 NFT 被盗。

据多个推特 KOL 反映称，该事件起因是 OpenSea 昨日推出的新迁移合约（地址：0xa2c0946aD444DCCf990394C5cBe019a858A945bD）疑似出现漏洞，攻击者（地址：0x3e0defb880cd8e163bad68abe66437f99a7a8a74）利用该漏洞窃取大量 NFT 并卖出套利，失窃 NFT 涵盖 BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers 等多种高价值系列。

推特 KOL“Jon_HQ”推文中指出，攻击者总共花费了750美元的 Gas 费，没有支付 ETH 购买，但获得了4个 Azukis、2个 Coolmans、2个 Doodles、2个 KaijuKings、1个 MAYC、1个 Cool Cat、1个 BAYC……

Mr. Whale 也在推特上表示，Opensea“漏洞利用”可以允许用户出售、窃取任何用户的任何 NFT，损失已超过2亿美元。

新迁移合约，是 OpenSea 发布的一项新升级。昨日，OpenSea 宣布其智能合约升级已完成，新的智能合约已经上线，用户迁移智能合约需签署挂单迁移请求，签署此请求不需要 Gas 费，无需重新进行NFT审批或初始化钱包。在迁移期间，旧智能合约上的报价将失效。英式拍卖将于合约升级完成后暂时禁用几个小时，新合约生效后，可以再次创建新的定时拍卖。现有智能合约的荷兰式拍卖将于北京时间2月26日3时在迁移期结束时到期。

随后，gmDAO 创始人 Cyphr.ETH 发推称‌，黑客使用了标准网络钓鱼电子邮件复制了几天前发生的“正版 OpenSea”电子邮件，然后让一些用户使用 WyvernExchange 签署权限。OpenSea 未出现漏洞，只是人们没有像往常一样阅读签名权限。

安全公司 PeckShield 也表示，虽然未经证实，但 Opensea 黑客很可能是网络钓鱼。用户按照网络钓鱼邮件中的指示授权“迁移”，而这种授权很不幸地允许黑客窃取有价值的 NFTs……

以太坊智能合约编程语言 Solidity 的开发者 foobar 则分析称‌，黑客使用30天前部署的一个助手合约，调用4年前部署的一个操作系统合约，使用有效的 atomicMatch() 数据。这可能是几个星期前的典型网络钓鱼攻击。而不是智能合约漏洞，代码是安全的。

截止目前，OpenSea 官方已针对此事展开调查，并发布推特回应称‌：

我们正在积极调查与 OpenSea 智能合约有关的传闻。这看起来像是来自 OpenSea 网站外部的网络钓鱼攻击。不要点击 http://opensea.io  之外的任何链接。

根据多位推特 KOL 和官方声明，本次安全事件原因大概是外部网络钓鱼攻击所致。但是也出现了一些不同的声音。

OracleHawk 首席执行官 Jacob King 在推特上发了一张代码截图并认为‌：

OpenSea 现在撒谎并声称该漏洞实际上只是人们收到的网络钓鱼电子邮件。这100%不是真的，而是他们代码中的一个缺陷导致了历史上最大的 NFT 漏洞利用之一。

此次漏洞事件最终原因是什么，仍需等待 OpenSea 的调查结果。巴比特持续关注中。