Kradzież tokenów NFT z giełdy OpenSea. Straty oszacowano na 1,7 miliona dolarów

OpenSea jest jedną z najbardziej rozpoznawalnych giełd NFT. Nic dziwnego, że właśnie ją i jej użytkowników na cel wzięli cyberprzestępcy, którzy postanowili ukraść 254 tokenów, z których każdy był warty średnio ok. 6693 dolarów (co w przeliczeniu na naszą walutę daje bagatela 26 775 zł). Poszkodowane są łącznie 32 osoby.

Informację o tym, że skradziono NFT, podał serwis The Verge powołując się na dane od PeckShield. Przygotowano listę ukradzionych zasobów, na której znalazły się 254 pozycje. Wśród nich znalazły się m.in. tokeny Decentraland oraz charakterystyczna małpa tworzona w ramach Bored Ape Yacht Club (to taki pierwowzór tych polskich niesławnych miśków NFT).

Ataki na 32 użytkowników OpenSea zostały przeprowadzone w nocy z soboty 19 lutego na niedzielę 20 lutego polskiego czasu i większość z nich wykonano pomiędzy północą a godziną trzecią nad ranem. Pojawiły się podejrzenia, że w celu ich przeprowadzenia wykorzystano dziurę w protokole Wyvern, czyli rozwiązaniu open-source wykorzystywanym do zawierania transakcji NFT.

W dużym uproszczeniu właściciele tokenów mieli złożyć swój podpis pod kontraktami na sprzedaż NFT w ciemno, a atakujący dopiero potem wypełnili dodatkowe pola, co pozwoliło im przejąć tokeny bez uiszczania za nie opłaty. Nie wiadomo jednak, w jaki sposób cyberprzestępcom udało się właścicieli NFT skłonić do tego, by się na coś takiego zgodzili.

Na to, że mamy tutaj do czynienia z phishingiem, a nie złamaniem zabezpieczeń serwisu OpenSea, wskazuje przy tym fakt, iż skala ataku jest relatywnie niewielka. Chociaż wartość skradzionych NFT jest spora, to atak wymierzony został w zaledwie kilkudziesięciu użytkowników. Jeśli by złamano zabezpieczenia serwisu, ofiarą ataku padłoby zapewne znacznie więcej ludzi.

Smaczku sprawie dodaje fakt, że atak wykonano w chwili, gdy OpenSea aktualizowało swój system zawierania kontraktów na zakup i sprzedaż NFT. Przedstawiciele serwisu mimo to zaprzeczają, jakoby problem leżał po ich stronie. Nadal jednak nie wiadomo, w jaki dokładnie sposób przebiegał ten konkretny atak.