1,7 мільйона доларів було викрадено у користувачів OpenSea
Стало відомо, що на сервіс OpenSea була здійснена атака, при якій велика кількість NFT-токенів було вкрадено
19 лютого злочинці викрали сотні NFT у користувачів OpenSea , посіявши тривогу серед користувачів. Служба безпеки PeckShield оголосила про 254 вкрадених токена, в тому числі власність Decentraland і Bored Ape Yacht Club.
Глобальна атака почалася між 17:00 і 20:00 вечора і торкнулася щонайменше 32 аккаунта. Моллі Уайт, ведуча блогу Web3 is Going Great, повідомила, загальна сума викраденого становить 1,7 мільйона доларів.
Найімовірніше, атака була здійснена через багаторівневість протоколу Wyvern, що знаходився в основі більшості смарт-контрактів NFT, включаючи ті, які були створені на OpenSea.
Директор корпорації, Девід Фінзер, роз'яснив те, що відбувається в своєму Твіттері. Він стверджує, що це була фішингова атака. Був здійснений злом не самої платформи, а електронних пошт користувачів.
Схема виявилася дуже простою: користувач отримував на пошту контракт для отримання прав власності на NFT, після чого відправляв підписаний варіант назад адресату. Шахраї отримували файл, вносили свої дані і таким чином, знаходили право власності. Всього за пару годин хакерам вдалося провести десятки таких транзакцій.
"я перевірив всі фінансові операції, проведені в цей період і можу сказати, що хакери оволоділи всіма необхідними підписами. Всі, хто піддався фішингу, втратили свої токени" - повідомив користувач з ніком Neso.
Коли сталася атака, система контрактів OpenSea оновлювалася, але сама платформа заперечує зв'язок між цими подіями.
Тим не менш, більшість елементів залишилися в тіні - зокрема, метод, який зловмисники використовували, щоб змусити користувачів підписати наполовину порожній контракт. Генеральний директор OpenSea Девін Фінзер повідомив, що атаки не надходили від веб-сайту OpenSea, його різних систем лістингу або будь-яких електронних листів від компанії. Швидкий темп злому, сотні транзакцій за кілька годин, передбачає наявність якогось загального напрямку, але поки ніякої взаємини не знайдено.
Моллі Уайт у своєму блозі додала, що через час зломщики повернули частину токенів постраждалим. А комусь навіть пощастило отримати бонус-на 50 Etherium більше вкраденого.
"Ми будемо повідомляти вам останні новини в процесі розслідування природи фішингової атаки", — написав Фінзер в Твіттері. "Якщо ви володієте будь-якою інформацією, яка може бути корисною, будь ласка, напишіть в @opensea_support".
