Miliony dolarów w transakcjach NFT wyłudzanych od użytkowników OpenSea

W incydencie, który nie powinien nikogo dziwić po gwałtownym wzroście popularności niezamiennych tokenów, złośliwy gracz zdołał ukraść NFT o wartości około 2 milionów dolarów od użytkowników rynku OpenSea NFT w dobrze zaplanowanym ataku phishingowym.

OpenSea reklamuje się jako największy rynek NFT na świecie. Platforma oferuje rynek peer-to-peer do wymiany niezamiennych tokenów lub NFT. Platforma rozpoczynała proces aktualizacji, aby poradzić sobie z nieaktywnymi listami tokenów. Ta aktualizacja wymagała działania użytkownika i migracji kontraktu, więc OpenSea wysłało użytkownikom szczegółowe instrukcje wyjaśniające, co należy zrobić po stronie użytkownika.

Wyłudzanie informacji we właściwym czasie

Jednak podmiot odpowiedzialny za atak phishingowy działał szybko i wysłał wiadomości phishingowe do użytkowników OpenSea. Przynęta została dostosowana tak, aby wyglądała prawie tak samo, jak oryginalna wiadomość wysłana przez platformę OpenSea, z wyjątkiem szkodliwych odsyłaczy zawartych w wiadomościach phishingowych.

Zły link przekierowuje ofiary na specjalnie spreparowaną stronę phishingową, która wygląda prawie tak samo jak strona używana przez OpenSea, ale złośliwa strona nakazuje również użytkownikom włączenie „inteligentnych danych kontraktowych” i „podpisywania na ślepo” – tekstu, którego nie ma na oficjalnej stronie. Strona OpenSea.

Atakujący przybył przygotowany

Osoba atakująca stojąca za kampanią phishingową zawarła umowę mniej więcej miesiąc przed atakiem. Gdy ofiary podpiszą złośliwą transakcję na stronie phishingowej, wysyłają żądanie atomicMatch_ do umowy podmiotu zajmującego się zagrożeniem. Żądanie atomicMatch_ jest używane przez OpenSea do autoryzacji transakcji tylko wtedy, gdy spełnione są wszystkie parametry giełdy.

Według zespołu ds. bezpieczeństwa cybernetycznego z Check Point, który opublikował post na temat ataku, cyberprzestępcy zdołał szybko odsprzedać NFT skradzione podczas ataku i zarobić około 2 miliony dolarów.

Atak ten pokazuje jedynie, że im bardziej zorientowane finansowo miejsca cyfrowe są udostępniane, tym więcej powierzchni i wektorów ataku zostanie zaprezentowanych podmiotom zagrażającym. Można by niemal pomyśleć, że każdy, kto ma do czynienia z NFT, byłby wystarczająco obeznany z technologią, aby wykryć zły link i phishingowy e-mail, ale widząc, jak skradziono NFT o wartości 2 milionów dolarów, wydaje się, że tak nie jest.