מיליוני דולרים ב-NFT ששודרו ממשתמשי OpenSea

בתקרית שלא אמורה להפתיע אף אחד בעקבות הזינוק הפרוע בפופולריות של אסימונים שאינם ניתנים לשינוי, שחקן זדוני הצליח לגנוב NFT בשווי של כ-2 מיליון דולר ממשתמשי שוק OpenSea NFT במתקפת פישינג מתוזמנת היטב.

OpenSea מחייבת את עצמה כשוק ה-NFT הגדול בעולם. הפלטפורמה מציעה שוק עמית לעמית להחלפת אסימונים או NFTs שאינם ניתנים לשינוי. הפלטפורמה החלה בתהליך של עדכון על מנת להתמודד עם רישומים לא פעילים של אסימונים. עדכון זה דרש פעולת משתמש והגירת חוזים, אז OpenSea שלחה הנחיות מפורטות למשתמשים, המסבירות מה צריך לעשות על חלק מהמשתמש.

פישינג בזמן הנכון

עם זאת, שחקן האיום מאחורי מתקפת הדיוג פעל במהירות ושלח מיילים דיוגים למשתמשי OpenSea. הפיתיון הותאם כך שייראה כמעט זהה להודעה המקורית שנשלחה על ידי פלטפורמת OpenSea, למעט הקישורים הזדוניים הכלולים במייל הדיוג.

הקישור הרע מפנה את הקורבנות לדף דיוג ספציפי שנראה כמעט זהה לדף שבו משתמשת OpenSea, אבל הדף הזדוני גם אומר למשתמשים לאפשר "נתוני חוזים חכמים" ו"חתימה עיוורת" - טקסט שחסר ברשמית עמוד OpenSea.

התוקף הגיע מוכן

התוקף שמאחורי מסע הדיוג קבע חוזה כחודש לפני המתקפה. ברגע שהקורבנות חותמים על העסקה הזדונית בדף התחזות, הם שולחים בקשה של atomicMatch_ לחוזה של שחקן האיום. בקשת atomicMatch_ משמשת את OpenSea כדי לאשר עסקאות רק אם כל הפרמטרים של הבורסה מתקיימים.

על פי צוות אבטחת הסייבר עם צ'ק פוינט שפרסם פוסט על המתקפה, שחקן האיום הצליח למכור מחדש במהירות את ה-NFTs שנגנבו במתקפה ולהרוויח כ-2 מיליון דולר בתהליך.

מתקפה זו רק מראה שככל שיהיו מקומות דיגיטליים בעלי אוריינטציה פיננסית זמינים יותר, כך יוצגו יותר משטחי תקיפה וקטורי תקיפה גם בפני גורמי איום. כמעט אפשר היה לחשוב שכל מי שמתעסק עם NFTs יהיה מספיק מתמצא בטכנולוגיה כדי לזהות את הקישור הפגום ואת המייל הדיוג, אבל לראות איך נגנבו NFT בשווי 2 מיליון דולר, זה לא נראה כך.