Miliony dolarů v NFT phishing od uživatelů OpenSea
V incidentu, který nikoho nepřekvapí po divokém nárůstu popularity nezaměnitelných tokenů, se zlomyslnému herci podařilo ukrást NFT v hodnotě kolem 2 milionů dolarů od uživatelů tržiště OpenSea NFT v dobře načasovaném phishingovém útoku.
OpenSea se považuje za největší tržiště NFT na světě. Platforma nabízí peer-to-peer tržiště pro výměnu nezaměnitelných tokenů nebo NFT. Platforma zahajovala proces aktualizace, aby se vypořádala s neaktivními výpisy tokenů. Tato aktualizace vyžadovala akci uživatele a migraci smlouvy, takže OpenSea rozeslala uživatelům podrobné pokyny, které vysvětlovaly, co je třeba udělat na straně uživatele.
Phishing ve správný čas
Hrozba stojící za phishingovým útokem však jednala rychle a rozeslala phishingové e-maily uživatelům OpenSea. Návnada byla přizpůsobena tak, aby vypadala téměř stejně jako původní zpráva odeslaná platformou OpenSea, s výjimkou škodlivých odkazů obsažených v phishingových e-mailech.
Špatný odkaz přesměrovává oběti na specificky upravenou phishingovou stránku, která vypadá téměř stejně jako stránka používaná OpenSea, ale škodlivá stránka také říká uživatelům, aby povolili „inteligentní data smlouvy“ a „slepé podepisování“ – text, který na oficiálních stránkách chybí. stránka OpenSea.
Útočník přišel připraven
Útočník stojící za phishingovou kampaní uzavřel smlouvu zhruba měsíc před útokem. Jakmile oběti podepíší škodlivou transakci na phishingové stránce, odešlou požadavek atomicMatch_ na smlouvu aktéra hrozby. Požadavek atomicMatch_ používá OpenSea k autorizaci transakcí pouze v případě, že jsou splněny všechny parametry burzy.
Podle týmu kybernetické bezpečnosti Check Point, který zveřejnil příspěvek o útoku, se aktérovi hrozby podařilo rychle prodat NFT ukradená při útoku a vydělat si v tomto procesu přibližně 2 miliony dolarů.
Tento útok jen ukazuje, že čím více finančně orientovaných digitálních míst bude zpřístupněno, tím více útočných ploch a útočných vektorů bude prezentováno i aktérům hrozeb. Člověk by si skoro myslel, že každý, kdo se zabývá NFT, bude dostatečně technicky zdatný, aby odhalil špatný odkaz a phishingový e-mail, ale když se podíváme na to, jak byly ukradeny NFT v hodnotě 2 milionů dolarů, nezdá se, že by tomu tak bylo.