Bedragare nätfiskar ut miljoner dollar i NFT från OpenSea-användare

För ett par dagar sedan publicerade säkerhetsforskare med Check Point ett blogginlägg som beskriver en nätfiskeattack som riktade sig till OpenSea-användare och ledde till vad forskare uppskattar till "miljoner" i stulna NFT:er.

OpenSea annonserar sig själv som den "största NFT-marknadsplatsen", och erbjuder en P2P-marknadsplats för utbyte av icke-fungibla tokens eller NFT:er. Plattformen genomgick en uppdateringsprocess som krävde kontraktsmigrering. Målet med detta var att ta hand om inaktiva listor över gamla tokens, vilket i sin tur kräver att användarna vidtar åtgärder så att deras kontrakt kan uppgraderas.

Nätfiske för NFT

OpenSea-teamet skickade ut en detaljerad guide till användare som förklarade exakt hur de skulle hantera proceduren och migrera sina NFT-listor. En hotaktör fick dock nys om detta och bestämde sig för att missbruka situationen.

Bedragarna skickade ut nätfiskemail, manipulerade för att se ut som den officiella korrespondensen som skickats ut av OpenSea. Brödtexten i meddelandet kopierar originaltexten som används av de legitima OpenSea-meddelandena. Bedragarna länkar dock till en nätfiskesida istället. Väl på den sidan uppmanas offret att underteckna ett transaktionsformulär, återigen skräddarsytt och behandlat för att se nästan exakt likadant ut som det officiella OpenSea-formuläret. Bedragarsidan instruerar dock användarna att koppla in sin reskontraenhet, välja Ethereum-appen och sedan aktivera "smarta kontraktsdata" och "blind signering". Denna text saknas i det ursprungliga meddelandet från NFT-plattformen.

När offret väl har skrivit under den erbjudna transaktionen skickar de en förfrågan till angriparens kontrakt, som har skapats ungefär en månad före nätfiskeattacken. Själva begäran kallas atomicMatch_ och används i affärer på NFT-plattformen. Check Point förklarade att "atomic" syftar på det faktum att transaktionen endast kommer att genomföras om alla parametrar är uppfyllda.

Kontot som användes för att stjäla NFT:erna verkar ha bubblat med nya 2 miljoner dollar värda stulna och vidaresålda NFTs, enligt forskargruppen.

Rushen för icke-fungibler

NFTs har blivit ett väldigt hett ämne de senaste månaderna, till en punkt där inte bara innehållsskapare och varumärken är intresserade av dem, utan även stora underhållnings- och spelföretag har börjat köra hårt för att implementera dem regelbundet. Ämnet är kontroversiellt och medan många kryptofans omfamnar NFT, tror många andra att NFT i grunden är ett mycket utarbetat sätt att övertyga människor att ta av sig sina pengar.

Denna senaste olycka visar bara att, i likhet med kryptomarknadsplatser och -börser, kommer NFT-marknadsplatser också att vara måltavlor av hotaktörer och kommer att dyka upp i nyheterna, eftersom ju mer den här typen av infrastruktur och användarbas växer, desto större attackyta. kommer att vara tillgänglig för hotaktörer också.