Licenças para vários dispositivos (descontos por volume)
Computer Security Milhões de Dólares em NFTs Roubados dos Usuários do OpenSea

Milhões de Dólares em NFTs Roubados dos Usuários do OpenSea

Por Mura em Computer Security
Traduzir Para:
Português

Em um incidente que não deve surpreender a ninguém após o aumento selvagem na popularidade dos tokens não fungíveis, um agente malicioso conseguiu roubar cerca de US$2  milhões em NFTs de usuários do mercado OpenSea NFT, em um oportuno ataque de phishing.

O OpenSea se autodenomina o maior mercado NFT do mundo. A plataforma oferece um mercado ponto a ponto para a troca de tokens não fungíveis ou NFTs. A plataforma estava iniciando o processo de atualização para lidar com as listagens inativas de tokens. Essa atualização exigiu ação do usuário e migração de contrato, então a OpenSea enviou instruções detalhadas aos usuários, explicando o que precisava ser feito por parte do usuário.

'Phishing' na Hora Certa

No entanto, o agente da ameaça por trás do ataque de phishing agiu rápido e enviou e-mails de phishing para os usuários do OpenSea. A isca foi adaptada para parecer quase igual à mensagem original enviada pela plataforma OpenSea, com exceção dos links maliciosos contidos nos e-mails de phishing.

O link ruim redireciona as vítimas para uma página de phishing especificamente manipulada, que parece quase a mesma página usada pelo OpenSea, mas a página maliciosa também informa aos usuários que eles devem habilitar "dados de contrato inteligente" e "assinatura cega" - texto que está ausente no oficial página OpenSea.

O Atacante Veio Preparado

O atacante por trás da campanha de phishing havia estabelecido um contrato cerca de um mês antes do ataque. Depois que as vítimas assinam a transação maliciosa na página de phishing, elas enviam uma solicitação atomicMatch_ ao contrato do agente da ameaça. A solicitação para o atomicMatch_ é usada pelo OpenSea para autorizar transações somente se todos os parâmetros da troca forem atendidos.

De acordo com a equipe de segurança cibernética da Check Point, que publicou um post sobre o ataque, o agente da ameaça conseguiu revender rapidamente os NFTs roubados no ataque e faturar cerca de US$2 milhões no processo.

Esse ataque mostra apenas que quanto mais locais digitais voltados para o financeiro forem disponibilizados, mais superfície de ataque e vetores de ataque serão apresentados aos agentes de ameaças. Quase se pensaria que qualquer um que lidasse com NFTs fosse suficientemente experiente em tecnologia para identificar o link ruim e o e-mail de phishing, mas vendo como US$2 milhões em NFTs foram roubados, esse não parece ser o caso.

Carregando...