2,9 mln dolarów w tokenach NFT skradzione. Użytkownicy padli ofiarą phishingu
Obserwuj INNPoland w Wiadomościach Google
2,9 mln dolarów w NFT skradzione
W sobotni wieczór 254 tokeny NFT zmieniły właścicieli wbrew ich woli. Użytkownicy platformy OpenSea zorientowali się, że ich niezwykle wartościowe dobra – m.in. z kolekcji Bored Ape Yacht Club czy Azuki – już do nich nie należą. Straty są szacowane na 2,9 mln dolarów – pisze serwis The Verge.
Współzałożyciel i CEO OpenSea Devin Finzer szybko wskazał, że firma wie o sytuacji i próbuje ocenić jej przyczyny. Platforma zarzeka się, że do phishingu nie doszło przez serwery OpenSea ani przez maile wysyłane z serwera spółki.
Ekspertka rynku NFT Molly White oszacowała, że utracone i sprzedane dalej po ataku tokeny warte były ok. 1 115 Ethereum, czyli 2,9 miliona dolarów. Specjalistka dodała, że haker stojący za atakiem zachowywał się co najmniej dziwnie.
Niektóre z ofiar zgłosiły, że ich NFT do nich wróciły, inne miały dostać "zadośćuczynienie". Jedna z ofiar zgłosiła, iż na jej konto przelano 50 ETH (130 tys. dol.) oraz wróciło tam nieco ukradzionych tokenów niewymienialnych.
White dodaje, że nie zmienia to faktu, ze 1115 ETH uzyskane z kradzieży hakera trafiło do tzw. bębna kryptowalutowego (ang. cryptocurrency tumbler). Jest to technika pozwalająca na ukrycie pochodzenia danych krypotwalut, w efekcie jest podobna do technik prania brudnych pieniędzy.
Jak doszło do ataku? The Verge wskazuje, że przestępca wykorzystał luki w Wyvern Protocol – otwartoźródłowym standardzie wymiany NFT za pomocą tzw. inteligentnych kontraktów (smart contracts). Z Wyvern Protocol korzysta także platforma OpenSea.
W ogromnym uproszczeniu – ofiary podpisywały cyfrowo częściowo wypełniony kontrakt, a haker linkował autoryzację pierwotnej umowy do innego kontraktu, co umożliwiało mu przeniesienie praw do tokena bez płacenia ustalonej kwoty.
Można to porównać z podsunięciem komuś aktu sprzedaży do podpisu, a potem dopisaniu ceny sprzedaży przedmiotu w wysokości 0 dolarów. Oznacza to, że haker faktycznie nie wykradł NFT wirusem i nie włamał się na konta ofiar. Właściciele padli ofiarą zaawansowanej metody phishingu – sami zautoryzowali podejrzaną transakcję.