Millioner af dollars i NFT'er phished fra OpenSea-brugere

I en hændelse, der ikke burde komme som nogen overraskelse for nogen, der fulgte den vilde stigning i popularitet af ikke-fungible tokens, lykkedes det en ondsindet skuespiller at stjæle omkring 2 millioner USD af NFT'er fra brugere af OpenSea NFT-markedspladsen i et veltimet phishing-angreb.

OpenSea fakturerer sig selv som den største NFT-markedsplads i verden. Platformen tilbyder en peer-to-peer-markedsplads til udveksling af ikke-fungible tokens eller NFT'er. Platformen startede processen med at opdatere for at håndtere de inaktive lister over tokens. Denne opdatering krævede brugerhandling og kontraktmigrering, så OpenSea sendte detaljerede instruktioner til brugerne, der forklarer, hvad der skal gøres på en del af brugeren.

Phishing på det rigtige tidspunkt

Trusselsaktøren bag phishing-angrebet handlede dog hurtigt og sendte phishing-e-mails ud til OpenSea-brugere. Lokkemaden blev skræddersyet til at se næsten ud som den originale besked sendt af OpenSea-platformen, med undtagelse af de ondsindede links indeholdt i phishing-e-mails.

Det dårlige link omdirigerer ofrene til en specifikt behandlet phishing-side, der ser næsten ud som den side, der bruges af OpenSea, men den ondsindede side fortæller også brugerne, at de skal aktivere "smarte kontraktdata" og "blind signering" - tekst, der er fraværende på den officielle side. OpenSea side.

Angriberen kom forberedt

Angriberen bag phishing-kampagnen havde oprettet en kontrakt omkring en måned før angrebet. Når ofrene har underskrevet den ondsindede transaktion på phishing-siden, sender de en atomicMatch_-anmodning til trusselsaktørens kontrakt. AtomicMatch_-anmodningen bruges af OpenSea til kun at godkende transaktioner, hvis alle parametre for børsen er opfyldt.

Ifølge cybersikkerhedsteamet med Check Point, som offentliggjorde et indlæg om angrebet, lykkedes det trusselsaktøren hurtigt at videresælge de NFT'er, der blev stjålet i angrebet, og tjene omkring 2 millioner dollars i processen.

Dette angreb viser kun, at jo mere økonomisk orienterede digitale spillesteder stilles til rådighed, jo flere angrebsflader og angrebsvektorer vil også blive præsenteret for trusselsaktører. Man skulle næsten tro, at enhver, der beskæftiger sig med NFT'er, ville være tilstrækkeligt tech-kyndige til at opdage det dårlige link og phishing-e-mailen, men når man ser, hvordan NFT'er til en værdi af $2 millioner blev stjålet, ser det ikke ud til at være tilfældet.