- W zeszłym tygodniu cyberprzestępcy wykradli użytkownikom OpenSea setki niewymienialnych tokenów (NFT) na kwotę ponad 1,7 mln dolarów
- Hakerzy wykorzystali odbywający się od kilku dni proces migracji kontraktów, którego ideą było zajęcie się istniejącymi nieaktywnymi wykazami starych NFT
Kolejny atak na OpenSea doprowadził do kradzieży milionów dolarów w NFT – analiza ekspercka
W zeszłym tygodniu cyberprzestępcy wykradli użytkownikom OpenSea setki niewymienialnych tokenów (NFT) na kwotę ponad 1,7 mln dolarów, czyli blisko 7 mln złotych! Większość ataków miała miejsce w godzinach od 17:00 do 20:00 czasu wschodniego i dotyczyła łącznie 32 użytkowników. Eksperci Check Point Research skrupulatnie przeanalizowali kampanię phishingową, która doprowadziła do największej w historii kradzieży NFT.
Zaledwie kilka dni temu OpenSea opublikowało artykuł o planowanej migracji kontraktów, której ideą było zajęcie się istniejącymi nieaktywnymi wykazami starych NFT i w tym celu planują uaktualnienie do nowego kontraktu. Wszyscy użytkownicy będą musieli „przenieść” swoje oferty w Ethereum do nowego smart kontraktu.
Sytuację wykorzystali hakerzy, którzy postanowili oszukać użytkowników NFT, używając e-maila OpenSea, którego ponownie wysłali do ofiar.
Naciśnięcie linku przekierowywało użytkowników do strony phishingowej, która prosiła ich o podpisanie transakcji. Atakujący zdecydował się użyć żądania atomicMatch do kradzieży NTF ofiar, ponieważ za jego pomocą był w stanie ukraść wszystkie NFT ofiary w jednej transakcji.
Przebieg ataku wygląda następująco:
- Ofiara klika złośliwy link w wiadomości phishingowej
- Link otwierał stronę phishingową, która prosiła ofiarę o podpisanie transakcji.
- Po podpisaniu transakcji żądanie atomicMatch _ zostało wysłane do 0xa2c0946ad444dccf990394c5cbe019a858a945bd (kontrakt napastnika).
- Atakujący następnie przekazywał żądanie do atomicMath pod adresem 0x7be8076f4ea4a4ad08075c2508e481d6c946d12b (umowa OpenSea)
- Umowa OpenSea weryfikowała wszystkie parametry transakcji i realizowała transakcję, jako, że wszystko zostało zatwierdzone i podpisane przez ofiarę.
- Kontrakt OpenSea komunikuje się z kontraktami NFT i przekazuje NFT od ofiary do atakującego zgodnie z parametrami atomicMatch .
