Il più grande mercato NFT del mondo OpenSea ha subito un exploit che ha lasciato decine di NFT dispersi.
La notizia è arrivata dopo una serie di tweet di alcuni degli utenti interessati che affermavano che alcuni dei loro NFT sarebbero stati scomparsi dopo aver fatto clic su un collegamento di migrazione di un contratto intelligente.
“Stiamo indagando attivamente sulle voci di un exploit associato a contratti intelligenti relativi a OpenSea. Questo sembra essere un attacco di phishing originato al di fuori del sito Web di OpenSea. Non fare clic sui collegamenti al di fuori di http://opensea.io. Mare aperto Ha twittato poco dopo i rapporti.
Il CEO di OpenSea Devin Finzer ha confermato le lamentele, affermando che 32 utenti avevano finora firmato un payload dannoso da un aggressore, esponendo i propri account all'exploit. Finzer, che ha affermato che l'exploit era un attacco di phishing che non era in alcun modo collegato al sito Web di OpenSea, ha ulteriormente dissipato i rapporti secondo cui gli NFT rubati erano valutati a $ 200 milioni.
"L'attaccante ha $ 1,7 milioni di ETH nel suo portafoglio dalla vendita di alcuni degli NFT rubati." scrisse.
Sabato, OpenSea ha invitato gli utenti a iniziare a migrare i loro elenchi come parte di un aggiornamento pianificato del suo contratto intelligente esistente a un nuovo contratto intelligente. Gli elenchi che non rientrano nella scadenza scadrebbero, richiedendo agli utenti di elencare nuovamente i propri NFT.
Gli esperti ritengono che l'attaccante abbia pianificato di sfruttare questa finestra per eseguire l'exploit, poiché gli utenti prestano poca attenzione alla sicurezza quando cercano di rispettare le scadenze.
Secondo gli sviluppatori di Isotile, l'attaccante sembra aver pianificato l'exploit 28 giorni prima in previsione di raccogliere quante più firme possibili, secondo Etherscan.
"Inizia a inviare e-mail con siti Web di phishing". Isotile ha twittato. "Ti dicono di firmare un messaggio per accedere/migrare al nuovo contratto intelligente Opensea. Invece stai firmando una vendita privata (0 eth) dei tuoi NFT all'hacker."
Dopo aver raccolto abbastanza firme appena in tempo per la migrazione, l'attaccante "esegue la funzione di contratto intelligente per rubare gli NFT prima che i loro elenchi scadano". È stato in grado di farlo perché aveva le firme delle sue vittime archiviate sul suo server.
L'attività degli utenti di OpenSea è in gran parte senza censure, il che rende più difficile per l'azienda controllare le proprie attività. Al momento della scrittura, l'unica misura per evitare ulteriori perdite è stata che gli utenti rimanessero vigili e si astenessero dal firmare o fare clic su collegamenti al di fuori di ciò che OpenSea ha impostato come "un clic fa la differenza".