Golpistas roubam milhões de dólares em NFTs de usuários do OpenSea

Alguns dias atrás, pesquisadores de segurança da Check Point publicaram um post no blog detalhando um ataque de phishing que teve como alvo usuários do OpenSea e levou ao que os pesquisadores estimam como "milhões" em NFTs roubados.

A OpenSea se anuncia como o "maior mercado NFT", oferecendo um mercado P2P para troca de tokens não fungíveis ou NFTs. A plataforma estava passando por um processo de atualização que exigia migração de contrato. O objetivo disso era cuidar de listagens inativas de tokens antigos, o que, por sua vez, exige que os usuários tomem medidas para que seus contratos possam ser atualizados.

Phishing para NFTs

A equipe do OpenSea enviou um guia detalhado aos usuários, explicando exatamente como eles deveriam lidar com o procedimento e migrar suas listagens NFT. No entanto, um ator de ameaça percebeu isso e decidiu abusar da situação.

Os golpistas enviaram e-mails de phishing, manipulados para se parecerem com a correspondência oficial enviada pela OpenSea. O corpo da mensagem copia o texto original usado pelas mensagens legítimas do OpenSea. No entanto, os golpistas vinculam-se a uma página de phishing. Uma vez nessa página, a vítima é instada a assinar um formulário de transação, mais uma vez adaptado e manipulado para parecer quase exatamente o mesmo que o oficial do OpenSea. No entanto, a página do golpista instrui os usuários a conectar seu dispositivo de contabilidade, selecionar o aplicativo Ethereum e ativar "dados de contrato inteligente" e "assinatura às cegas". Este texto está faltando na mensagem original da plataforma NFT.

Assim que a vítima assina a transação oferecida, ela envia uma solicitação ao contrato do invasor, que foi criado cerca de um mês antes do ataque de phishing. A solicitação em si é chamada de atomicMatch_ e é usada em negociações na plataforma NFT. A Check Point explicou que "atômico" se refere ao fato de que a transação só será efetivada se todos os parâmetros forem atendidos.

A conta usada para roubar os NFTs parece ter borbulhado com US$ 2 milhões em NFTs roubados e revendidos, de acordo com a equipe de pesquisa.

A corrida pelos não-fungíveis

Os NFTs se tornaram um tópico muito quente nos últimos meses, a ponto de não apenas criadores de conteúdo e marcas estarem interessados neles, mas até mesmo grandes empresas de entretenimento e jogos começaram a se esforçar para implementá-los regularmente. O tópico é controverso e enquanto muitos fãs de criptomoedas adotam NFTs, muitos outros pensam que NFTs são essencialmente uma maneira muito elaborada de convencer as pessoas a desembolsar seu dinheiro.

Este último acidente só mostra que, semelhante aos mercados e trocas de criptomoedas, os mercados NFT também serão alvo de agentes de ameaças e aparecerão nas notícias, à medida que mais esse tipo de infraestrutura e base de usuários cresce, maior a superfície de ataque que também estará disponível para os agentes de ameaças.