NFT tržiště OpenSea vyšetřuje phishingový útok, kvůli kterému více než dvě desítky jeho uživatelů přišly o přístup k některým ze svých nejcennějších digitálních tokenů. V sobotu pozdě večer zachvátila uživatele platformy panika, když někdo ukradl stovky NFT.
Podle tabulky sestavené bezpečnostní službou Blockchain PeckShield se útočník během několika hodin zaměřil na 32 účtů a získal 254 tokenů. Mezi ukradenými NFT jsou tokeny z kolekcí Bored Ape Yacht Club a Azuki. Jeden z odhadů Molly Whiteové, tvůrkyně blogu Web3 is Going Great, odhaduje cenu tokenů na 641 ETH, tedy kolem 37 milionů Kč.
NFT tokeny jsou transparentním označením vlastnictví digitální položky. Nemusí jít jen o sběratelské obrázky, ale právě ty se nyní těší největší oblibě. Foto: Pixabay
37 milionů Kč během několika hodin
Podle společnosti OpenSea by nemělo jít o bezpečnostní chybu na straně samotné platformy. „Jsme přesvědčeni, že šlo o phishingový útok,“ uvedl Devin Finzer, spoluzakladatel a generální ředitel společnosti OpenSea, v tweetu. „Nevíme, kde k phishingu došlo, ale na základě rozhovorů s 32 postiženými uživateli jsme byli schopni vyloučit řadu věcí.“ Nejčastěji zmiňovaným scénářem bylo zprvu kliknutí obětí na odkaz v podvodném e-mailu. Oběti to ale podle platformy popírají a nabízí se i jiné možnosti.
Útok podle uživatele Neso na Twitteru pravděpodobně využil jeden z aspektů protokolu Wyvern. Mnoho platforem Web3, včetně OpenSea, používá tento open-source standard jako základ svých kontraktů. Neso naznačuje, že osoby, na které byla phishingová kampaň zaměřena, mohly podepsat tzv. částečnou smlouvu, která útočníkovi umožnila převést NFT, aniž by ETH tokeny změnily majitele. V odkazu na toto vlákno Finzer uvedl, že jde o nejpravděpodobnější scénář.
We have confidence that this was a phishing attack. We don’t know where the phishing occurred, but we’ve been able to rule out a number of things based on our conversations with the 32 affected users. Specifically:
— dfinzer.eth | opensea (@dfinzer) February 20, 2022
I když toho o útoku stále mnoho nevíme, jasné je, že pro OpenSea nemohl přijít v horší dobu. V pátek společnost představila nové chytré kontrakty a požádala uživatele, aby provedli migraci svých aktiv. V poslední době se také stala předmětem kontroverze, nejprve počínaje zaměstnancem, který odstoupil kvůli využívání důvěrných informací k zisku na poklesu NFT, a poté nedávno kvůli výskytu falešných NFT, plagiátů a spamu na platformě.
