Na milijone dolarjev v NFT-jih je bilo lažno od uporabnikov OpenSea
V incidentu, ki nikogar ne bi smel presenetiti po divjem porastu priljubljenosti nezamenljivih žetonov, je zlonamernemu akterju uspelo uporabnikom trga OpenSea NFT ukradti NFT v vrednosti približno 2 milijona dolarjev v pravočasnem napadu z lažnim predstavljanjem.
OpenSea se označuje kot največja tržnica NFT na svetu. Platforma ponuja peer-to-peer tržnico za izmenjavo nezamenljivih žetonov ali NFT. Platforma je začenjala s postopkom posodabljanja, da bi obravnavala neaktivne sezname žetonov. Ta posodobitev je zahtevala dejanje uporabnika in selitev pogodbe, zato je OpenSea uporabnikom poslala podrobna navodila, v katerih so pojasnili, kaj mora uporabnik narediti.
Lažno predstavljanje ob pravem času
Vendar pa je akter grožnje, ki stoji za napadom z lažnim predstavljanjem, deloval hitro in uporabnikom OpenSea poslal e-poštna sporočila z lažnim predstavljanjem. Vaba je bila prilagojena tako, da izgleda skoraj enako kot izvirno sporočilo, ki ga je poslala platforma OpenSea, z izjemo zlonamernih povezav v e-poštnih sporočilih z lažnim predstavljanjem.
Slaba povezava preusmeri žrtve na posebej obdelano stran z lažnim predstavljanjem, ki je videti skoraj enako kot stran, ki jo uporablja OpenSea, vendar zlonamerna stran uporabnikom tudi sporoča, naj omogočijo "podatke o pametnih pogodbah" in "slepo podpisovanje" - besedilo, ki ga na uradni strani ni. Stran OpenSea.
Napadalec je prišel pripravljen
Napadalec, ki stoji za kampanjo lažnega predstavljanja, je sklenil pogodbo približno mesec dni pred napadom. Ko žrtve podpišejo zlonamerno transakcijo na strani z lažnim predstavljanjem, pošljejo zahtevo atomicMatch_ pogodbi akterja grožnje. Zahtevo atomicMatch_ OpenSea uporablja za avtorizacijo transakcij le, če so izpolnjeni vsi parametri izmenjave.
Po mnenju ekipe za kibernetsko varnost pri Check Pointu, ki je objavila objavo o napadu, je akterju grožnje uspelo hitro preprodati NFT, ukradene v napadu, in pri tem zaslužiti okoli 2 milijona dolarjev.
Ta napad samo kaže, da bolj ko so na voljo finančno usmerjena digitalna prizorišča, več površin napada in vektorjev napada bo predstavljenih tudi akterjem grožnje. Človek bi skoraj pomislil, da bi bil kdorkoli, ki se ukvarja z NFT, dovolj tehnološko podkovan, da bi opazil slabo povezavo in e-pošto z lažnim predstavljanjem, vendar se zdi, da to ne drži, če vidimo, kako so ukradli NFT v vrednosti 2 milijona dolarjev.