Utilizatorii OpenSea sunt în pagubă după ce hackerii le-au furat sute de NFT-uri
Duminică seara, panica și-a făcut loc pe OpenSea după cineva a reușit să fure sute de NFT-uri în valoare de milioane de dolari printr-un atac de tip phishing. Este vorba despre un total de 254 de token-uri furate din portofelele digitale ale „foștilor” proprietari. Atacatorii au vândut la rândul lor acele NFT-uri pentru circa 641 Ethereum (la momentul atacului), ceea ce echivalează cu o pagubă de 1.7 milioane de dolari suferită de utilizatorii OpenSea.
NFT-urile furate sunt mențioate într-un spreadsheet alcătuit de PeckShield. Președintele și cofondatorul OpenSea, Devin Finzer, a postat pe Twitter veștile. Tehnic vorbind, atacul de tip phishing nu a țintit platforma propriu-zisă, ci a fost vorba mai degrabă de echivalentul acelei metode clasice în care accesezi link-uri dubioase și-ți introduci datele, doar că ajustat pentru NFT-uri…
OpenSea este la fel de vulnerabil ca restul platformelor
Din câte se pare, atacul s-a realizat prin exploatarea Protocolului Wyvern, mijlocul prin care sunt „semnate” contractele smart privind achiziționarea și deținerea de NFT-uri prin majoritatea platformelor, deci inclusiv OpenSea. Jaful s-a realizat în două etape; în primă fază, victimele semnau un contract parțial, care conținea multe blank-uri. Apoi, odată ce au obținut semnătura utilizatorilor, hackerii completau restul contractului, iar asta transfera token-urile în contul lor fără a trimite niciun ban.
Seen confusion about the OS thing so.
Attacker had people sign half of a valid wyvern order, the order was basically empty except the target (attacker contract) and calldata, attacker signs other half of order.
— Neso (@Nesotual) February 20, 2022
Practic, semnai un contract gol-goluț, iar atacatorii completau restul câmpurilor cu propriile date pentru a pune mâna pe bunuri. Dezvoltatorii menționează că cei 32 de utilizatori afectați nu au accesat niciun fel de link sau e-mail suspect care să fi avut legătură directă cu platforma. Și deși OpenSea a ajuns una din cele mai populare platforme de acest fel, valorând 13 miliarde de dolari, atacul a picat cum nu se poate mai prost pentru dezvoltatori.
În mijlocul unei schimbări care i-a forțat pe utilizatori să-și migreze bunurile și a altor mișcări controversate (plagiarism, falsuri, spam, practici ilicite ale angajaților), oportunitatea de a ataca a fost evidentă. Napoleon Bonaparte spune: „Niciodată să nu-ți întrerupi inamicul atunci când face o greșeală”, iar Sun Tzu i-a răspuns: „Lol ok, mersi, frate, o să pândesc ocazia perfectă.” Oh, nu, ce tragedie… În fine, iar a început să se strice vremea…