Durante il fine settimana, gli hacker hanno rubato milioni di dollari di token non fungibili (NFT) appartenenti a 17 membri del mercato NFT di OpenSea.
Sabato, un piccolo numero di utenti di OpenSea ha notato che i loro NFT mancavano.
È scoppiato il panico
ha scritto Molly White, che gestisce il blog Web3, perché molti altri temevano che potesse succedere loro lo stesso.
La speculazione abbondava sul fatto che un problema tecnico potesse essere derivato dal contratto intelligente di OpenSea, ovvero il software su cui gira la piattaforma, o forse da un airdrop di token ampiamente diffuso effettuato da un mercato NFT imitato chiamato X2Y2.
La vera causa era molto più interessante. Circa un'ora e mezza dopo la scomparsa degli NFT, OpenSea ha twittato che, in effetti, il fenomeno sembrava "essere un attacco di phishing originato al di fuori del sito Web di OpenSea".
Si è scoperto che gli hacker avevano utilizzato un'ingegnosa ingegneria sociale per il phishing di investitori inconsapevoli.
Contratto esca
Venerdì, OpenSea aveva lanciato un nuovo contratto intelligente. Rapidamente, un attore malintenzionato ha copiato e inviato nuovamente l'e-mail di OpenSea che notificava agli utenti.
Coloro che hanno aperto l'e-mail di copycat sono stati indirizzati a una pagina Web di copycat. Lì, è stato chiesto loro di firmare una transazione apparentemente legittima che, presumibilmente, avrebbe migrato i loro NFT dal vecchio al nuovo contratto.
Invece, facendo clic su "Firma" si attiva una funzione chiamata "atomicMatch_"; questo tipo di richiesta è in grado di rubare tutti gli NFTS delle vittime in un'unica transazione.
Alla fine, 250 NFT rubati a "soli" 17 utenti.
Anche con così poche vittime, tuttavia, l'impatto monetario di questa campagna è stato straordinario.
L’impatto dell’attacco su OpenSea
OpenSea è uno dei nomi più riconoscibili nell'NFT, come nello spazio criptovaluta/blockchain/metaverso .
A gennaio 2022, la società è valutata a $ 13,3 miliardi . L'attività di trading giornaliera su OpenSea tende a oscillare tra $ 100 milioni e $ 200 milioni al giorno, con $ 3,68 miliardi di transazioni NFT che si verificano solo negli ultimi 30 giorni. Secondo la società di ricerca blockchain Chainalysis, il mercato totale degli NFT ha raggiunto i 41 miliardi di dollari nel 2021.
Il valore crescente degli NFT aiuta a spiegare perché questo particolare aggressore è stato in grado di capovolgere solo gli asset di 17 vittime per un valore di circa $ 1,7 milioni di Ethereum (ETH).
Un incidente di così alto profilo "presenta l'opportunità di migliorare la sicurezza personale e del mercato", ha osservato Jake Fraser, Head of Business Development per il mercato NFT Mogul Productions.
Le società blockchain saranno incoraggiate a investire in programmi di auditing di contratti intelligenti di terze parti e bug bounty e porranno maggiore enfasi sull'educazione degli investitori sui rischi.
Quando le persone ottengono più istruzione, previene la probabilità che si verifichino attacchi di phishing. La maggior parte delle persone nello spazio utilizza ancora portafogli [online] caldi per archiviare i propri NFT, quindi ecco perché è fondamentale che sappiano come identificare le bandiere rosse quando si verifica un attacco di phishing
ha detto Fraser lunedì a Threatpost tramite Telegram.
Gli ultimi dati di Etherscan indicano che questa particolare campagna potrebbe essere finita. Ciò è presupponibile dato che l'account che trafficava con gli NFT rubati aveva avviato solo una transazione nelle 30 ore precedenti.