Milioni di dollari in NFT rubati dagli utenti di OpenSea
In un incidente che non dovrebbe sorprendere nessuno a seguito dell'impennata di popolarità dei token non fungibili, un attore malintenzionato è riuscito a rubare NFT per un valore di circa 2 milioni di dollari dagli utenti del mercato NFT di OpenSea in un attacco di phishing tempestivo.
OpenSea si autodefinisce il più grande mercato NFT al mondo. La piattaforma offre un mercato peer-to-peer per lo scambio di token non fungibili o NFT. La piattaforma stava avviando il processo di aggiornamento per gestire gli elenchi inattivi dei token. Questo aggiornamento richiedeva l'azione dell'utente e la migrazione del contratto, quindi OpenSea ha inviato istruzioni dettagliate agli utenti, spiegando cosa è necessario fare da parte dell'utente.
Phishing al momento giusto
Tuttavia, l'autore della minaccia dietro l'attacco di phishing ha agito rapidamente e ha inviato e-mail di phishing agli utenti di OpenSea. L'esca è stata adattata per sembrare quasi uguale al messaggio originale inviato dalla piattaforma OpenSea, ad eccezione dei collegamenti dannosi contenuti nelle e-mail di phishing.
Il collegamento errato reindirizza le vittime a una pagina di phishing specificamente modificata che sembra quasi la stessa della pagina utilizzata da OpenSea, ma la pagina dannosa dice anche agli utenti di abilitare i "dati del contratto intelligente" e la "firma alla cieca" - testo assente nell'ufficiale Pagina OpenSea.
L'attaccante è arrivato preparato
L'attaccante dietro la campagna di phishing aveva stipulato un contratto circa un mese prima dell'attacco. Una volta che le vittime firmano la transazione dannosa sulla pagina di phishing, inviano una richiesta atomicMatch_ al contratto dell'attore della minaccia. La richiesta atomicMatch_ viene utilizzata da OpenSea per autorizzare le transazioni solo se tutti i parametri dello scambio sono soddisfatti.
Secondo il team di sicurezza informatica con Check Point che ha pubblicato un post sull'attacco, l'attore delle minacce è riuscito a rivendere rapidamente gli NFT rubati durante l'attacco e a guadagnare circa $ 2 milioni nel processo.
Questo attacco mostra solo che più sono disponibili sedi digitali orientate al finanziamento, più superficie di attacco e vettori di attacco verranno presentati anche agli attori delle minacce. Si potrebbe quasi pensare che chiunque abbia a che fare con NFT sarebbe sufficientemente esperto di tecnologia per individuare il collegamento errato e l'e-mail di phishing, ma visto come sono stati rubati 2 milioni di dollari di NFT, questo non sembra essere il caso.