Miljoenen dollars aan NFT's gephishing van OpenSea-gebruikers
In een incident dat voor niemand als een verrassing zou komen na de wilde toename van de populariteit van niet-vervangbare tokens, slaagde een kwaadwillende acteur erin om ongeveer $ 2 miljoen aan NFT's te stelen van gebruikers van de OpenSea NFT-marktplaats in een goed getimede phishing-aanval.
OpenSea noemt zichzelf de grootste NFT-marktplaats ter wereld. Het platform biedt een peer-to-peer-marktplaats voor de uitwisseling van niet-fungible tokens of NFT's. Het platform begon met het updateproces om de inactieve vermeldingen van tokens aan te pakken. Deze update vereiste gebruikersactie en contractmigratie, dus stuurde OpenSea gedetailleerde instructies naar gebruikers, waarin werd uitgelegd wat er aan een deel van de gebruiker moest worden gedaan.
Phishing op het juiste moment
De dreigingsactor achter de phishing-aanval handelde echter snel en stuurde phishing-e-mails naar OpenSea-gebruikers. Het lokaas was zo gemaakt dat het er bijna hetzelfde uitzag als het oorspronkelijke bericht dat door het OpenSea-platform werd verzonden, met uitzondering van de kwaadaardige links in de phishing-e-mails.
De slechte link leidt slachtoffers om naar een specifiek gemanipuleerde phishing-pagina die er bijna hetzelfde uitziet als de pagina die door OpenSea wordt gebruikt, maar de kwaadaardige pagina vertelt gebruikers ook om "smart contract data" en "blind ondertekening" in te schakelen - tekst die afwezig is op de officiële OpenSea-pagina.
Aanvaller kwam voorbereid
De aanvaller achter de phishing-campagne had ongeveer een maand voor de aanval een contract opgesteld. Zodra slachtoffers de kwaadaardige transactie op de phishing-pagina ondertekenen, sturen ze een atomicMatch_-verzoek naar het contract van de dreigingsactor. Het atomicMatch_-verzoek wordt door OpenSea gebruikt om transacties alleen te autoriseren als aan alle parameters van de uitwisseling is voldaan.
Volgens het cyberbeveiligingsteam met Check Point, dat een bericht over de aanval publiceerde, slaagde de dreigingsactor erin om de bij de aanval gestolen NFT's snel door te verkopen en daarbij ongeveer $ 2 miljoen te verdienen.
Deze aanval laat alleen zien dat hoe meer financieel georiënteerde digitale locaties beschikbaar worden gesteld, hoe meer aanvalsoppervlak en aanvalsvectoren ook aan dreigingsactoren worden gepresenteerd. Je zou bijna denken dat iedereen die met NFT's te maken heeft voldoende technisch onderlegd zou zijn om de slechte link en de phishing-e-mail te herkennen, maar als je ziet hoe $ 2 miljoen aan NFT's werd gestolen, lijkt dit niet het geval te zijn.