Usuários da OpenSea perdem US$ 1,7 milhões em NFTs em suposto ataque phishing
De acordo com o blog Web3 is going just great, algumas das NFTs roubadas foram devolvidas a seus proprietários originais pelo próprio atacanteBy - Liliane Nakagawa, 21 fevereiro 2022 às 8:30
No fim da tarde de sábado (19), centenas de NFTs foram roubados de usuários da OpenSea em suposto ataque phishing, incluindo tokens de Decentraland e de Bored Ape Yacht Club. Segundo a contagem do serviço de segurança PeckShield, os atacantes roubaram 254 tokens em cerca de três horas.
Pelo menos, 32 usuários foram afetados com o suposto ataque phishing. Estima-se que valor dos tokens roubados ultrapasse US$ 1,7 milhões em ethers (ETH), de acordo com Molly White, do blog Web3 is going just great.
O ataque pode estar relacionado à exploração de uma flexibilidade no Protocolo Wyvern, o padrão de código aberto dos contratos inteligentes de NFT, incluindo os feitos na OpenSea. No Twitter, o CEO da empresa Devin Finzer linkou uma thread, que explicou o ataque em duas etapas: primeiramente, os alvos assinaram um contrato parcial, com uma autorização geral e com vários campos em branco. Com a assinatura, os atacantes completaram com uma informações para o próprio contrato, o qual transferiu a propriedade das NFTs sem pagamento.
For more technical context, this thread (https://t.co/oHGgA3wLHP) is consistent with our current internal understanding.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Um usuário que atende por Neso disse ter verificado cada transação. “Todos eles têm assinaturas válidas das pessoas que perderam NFTs, então qualquer um que afirma não ter sido vítima de phishing mas que perdeu NFTs está tristemente errado”, tweetou.
De acordo com informações blog de White, algumas das NFTs roubadas foram devolvidas a seus proprietários originais. “Uma vítima recebeu inexplicavelmente 50 ETH ($130.000) do atacante, bem como a devolução de algumas NFTs roubadas. Mais tarde, o atacante transferiu 1.115 ETH obtidos do ataque para um tumbler de moedas criptográficas, no valor de cerca de 2,9 milhões de dólares”.
Um pouco antes do ataque ocorrer, a OpenSea estava em processo de atualizar o sistema de contratos, entretanto ela nega o ataque tenha se originado com os novos contratos. No Twitter, o CEO da empresa, Devin Finzer defendeu que os ataques não tinham se originado no site, sistemas de listagem ou quaisquer e-mails da empresa. O ritmo rápido e com centenas de transações em questões de horas sugerem um vetor comum, apesar de muitos detalhes permanecerem pouco claros e sem ligações. “Vamos mantê-lo atualizado enquanto aprendemos mais sobre a natureza exata do ataque de phishing”, disse Finzer no Twitter. “Se você tiver informações específicas que possam ser úteis, por favor DM @opensea_support”.
Com informações de The Verge e Web3 is going just Great
Comentários