O maior mercado de NFT do mundo, o OpenSea, sofreu um exploit que deixou dezenas de NFTs desaparecidos.
A notícia veio após uma série de tweets de alguns dos usuários preocupados, alegando que alguns de seus NFTs desapareceriam depois de clicar em um link de migração de contrato inteligente.
“Estamos investigando ativamente rumores de uma exploração associada a contratos inteligentes relacionados ao OpenSea. Este parece ser um ataque de phishing originado fora do site OpenSea. Não clique em links fora de http://opensea.io. Offshore Ele twittou logo após os relatórios.
O CEO da OpenSea, Devin Finzer, confirmou as reclamações, afirmando que 32 usuários até agora assinaram uma carga maliciosa por um invasor, expondo suas contas à exploração. Finzer, que alegou que a exploração era um ataque de phishing que não estava de forma alguma relacionado ao site OpenSea, desmentiu ainda mais os relatos de que os NFTs roubados foram avaliados em US$ 200 milhões.
“O atacante tem US$ 1,7 milhão em ETH em sua carteira com a venda de alguns dos NFTs roubados”. ele escreveu.
No sábado, a OpenSea convidou os usuários a começar a migrar suas listas como parte de uma atualização planejada de seu contrato inteligente existente para um novo contrato inteligente. As listas fora do prazo expirariam, exigindo que os usuários re-listassem seus NFTs.
Especialistas acreditam que o invasor planejava aproveitar essa janela para executar o exploit, já que os usuários prestam pouca atenção à segurança ao tentar cumprir os prazos.
De acordo com os desenvolvedores do Isotile, o invasor parece ter planejado a exploração com 28 dias de antecedência, antecipando a coleta do maior número possível de assinaturas, de acordo com a Etherscan.
"Comece a enviar e-mails com sites de phishing." Isotila tuitou. "Eles dizem para você assinar uma mensagem para acessar/migrar para o novo contrato inteligente da Opensea. Em vez disso, você está assinando uma venda privada (0 eth) de suas NFTs para o hacker."
Tendo coletado assinaturas suficientes bem a tempo para a migração, o invasor "executa a função de contrato inteligente para roubar os NFTs antes que suas listas expirem". Ele foi capaz de fazer isso porque tinha as assinaturas de suas vítimas armazenadas em seu servidor.
A atividade do usuário do OpenSea é amplamente sem censura, o que torna mais difícil para a empresa monitorar suas atividades. No momento da redação deste artigo, a única medida para evitar mais perdas era que os usuários permanecessem vigilantes e se abstivessem de assinar ou clicar em links fora do que a OpenSea definiu como "um clique faz a diferença".