文章总结： 文档报道攻击者在黑客论坛以10万美元出售针对OpenSea的Seaport协议零日漏洞利用链，声称可零成本强制转移高价值NFT。该漏洞涉及签名可塑性等问题，目前尚无链上利用实例，OpenSea未回应。专家怀疑其为骗局或夸大，建议用户立即撤销授权并监控异常，警惕NFT平台潜在风险。 综合评分： 87 文章分类： 威胁情报,漏洞预警,区块链安全,漏洞分析

攻击者在黑客论坛上出售严重级别的 OpenSea 零日漏洞利用链

原创

ZM ZM

暗镜

2026年2月15日 15:57 辽宁

一名网络攻击者正在以10万美元的价格出售一条据称针对OpenSea的严重零日漏洞利用链，交易方式为比特币或门罗币。该信息声称该漏洞尚未修复且未被公开，这在NFT社区引发了警觉。

据称，该漏洞利用了OpenSea 的 Seaport 协议在以太坊主网、Polygon 和 Blast 网络上的订单验证逻辑中的缺陷。

它使攻击者能够以零 ETH 强制转移高价值 NFT，绕过上市批准，并通过签名可塑性和交叉收集攻击在活跃和非活跃的上市列表中运行。

卖家在收到付款后提供概念验证代码和实时演示，将其定位为一个完整的链条，能够在无需用户交互的情况下立即转移资产。

Dark Web Informer 首先在地下黑客论坛上发现了该漏洞，攻击者将其宣传为全新的零日漏洞，此前未发现任何公开利用案例。

截至2026年2月14日，链上尚未出现任何匹配的盗窃事件，OpenSea也未发布任何声明或补丁。怀疑者指出，以10万美元的价格出售NFT非常奇怪，因为像Bored Ape Yacht Club这样的NFT可以通过自我剥削获得数百万美元的收益，这表明这可能是一个骗局或夸大其词的说法。

NFT持有者应立即使用Revoke.cash等工具撤销所有OpenSea授权，以阻止未经授权的转账。密切监控交易列表，注意异常情况，并避免与受影响链上的可疑合约进行交互。

虽然过去 OpenSea 的一些漏洞，例如 2022 年 NFT 上架漏洞被利用导致价值 100 万美元的 NFT 被盗，都很快得到了修复，但这一未经证实的威胁凸显了 DeFi NFT 平台持续存在的风险。

此次事件与以往的漏洞利用交易类似，但公开报告中缺乏攻击者账号或论坛网址等入侵指标。网络安全公司敦促各方保持警惕，因为针对NFT的零日漏洞正在不断增加。OpenSea 用户对于这类参与者而言是一个极具价值的群体，而 Seaport 的广泛应用则进一步扩大了其潜在影响。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《攻击者在黑客论坛上出售严重级别的 OpenSea 零日漏洞利用链》