Nieznany sprawca ukradł tokeny NFT warte 2,9 mln dolarów użytkownikom serwisu OpenSea. Haker miał wykorzystać nieznaną wcześniej technikę do przejęcia 254 tokenów wartych fortunę. Prawowici właściciele NFT mogli paść ofiarą phishingu.
Obserwuj INNPoland w Wiadomościach Google
W sobotni wieczór 254 tokeny NFT zmieniły właścicieli wbrew ich woli. Użytkownicy platformy OpenSea zorientowali się, że ich niezwykle wartościowe dobra – m.in. z kolekcji Bored Ape Yacht Club czy Azuki – już do nich nie należą. Straty są szacowane na 2,9 mln dolarów – pisze serwis The Verge.
Współzałożyciel i CEO OpenSea Devin Finzer szybko wskazał, że firma wie o sytuacji i próbuje ocenić jej przyczyny. Platforma zarzeka się, że do phishingu nie doszło przez serwery OpenSea ani przez maile wysyłane z serwera spółki.
Ekspertka rynku NFT Molly White oszacowała, że utracone i sprzedane dalej po ataku tokeny warte były ok. 1 115 Ethereum, czyli 2,9 miliona dolarów. Specjalistka dodała, że haker stojący za atakiem zachowywał się co najmniej dziwnie.
Niektóre z ofiar zgłosiły, że ich NFT do nich wróciły, inne miały dostać "zadośćuczynienie". Jedna z ofiar zgłosiła, iż na jej konto przelano 50 ETH (130 tys. dol.) oraz wróciło tam nieco ukradzionych tokenów niewymienialnych.
White dodaje, że nie zmienia to faktu, ze 1115 ETH uzyskane z kradzieży hakera trafiło do tzw. bębna kryptowalutowego (ang. cryptocurrency tumbler). Jest to technika pozwalająca na ukrycie pochodzenia danych krypotwalut, w efekcie jest podobna do technik prania brudnych pieniędzy.
Jak doszło do ataku? The Verge wskazuje, że przestępca wykorzystał luki w Wyvern Protocol – otwartoźródłowym standardzie wymiany NFT za pomocą tzw. inteligentnych kontraktów (smart contracts). Z Wyvern Protocol korzysta także platforma OpenSea.
W ogromnym uproszczeniu – ofiary podpisywały cyfrowo częściowo wypełniony kontrakt, a haker linkował autoryzację pierwotnej umowy do innego kontraktu, co umożliwiało mu przeniesienie praw do tokena bez płacenia ustalonej kwoty.
Można to porównać z podsunięciem komuś aktu sprzedaży do podpisu, a potem dopisaniu ceny sprzedaży przedmiotu w wysokości 0 dolarów. Oznacza to, że haker faktycznie nie wykradł NFT wirusem i nie włamał się na konta ofiar. Właściciele padli ofiarą zaawansowanej metody phishingu – sami zautoryzowali podejrzaną transakcję.