V sobotu 19. února si hack vyžádal několik obětí z řad uživatelů služby OpenSea. Zloději se podařilo zdarma ukrást neopominutelné tokeny (NFT) prostřednictvím podvodné operace. Podívejme se, co se stalo
Nový hack pro OpenSea
Sotva měsíc po posledním hackerském útoku se platforma OpenSea, která není určena pro tokeny (NFT), opět objevila ve zprávách. Ačkoli s tím tentokrát neměla nic společného, několik jejích uživatelů se v sobotu večer dočkalo nepříjemného překvapení, když jim byly jejich NFT rozdány zdarma.
Podle Devina Finzera, generálního ředitele společnosti OpenSea, bylo 32 uživatelů tržiště podvedeno tím, že dovolili inteligentní smlouvě převést jejich drahocennou sbírku. Použitá metoda phishingu je zatím neznámá, ale chyba je zde na straně člověka, nikoliv na straně platformy :
Podle našich informací se jedná o phishingový útok. Nemyslíme si, že je to spojeno s webem OpenSea. Zdá se, že 32 uživatelů dosud podepsalo škodlivý payload od útočníka a některé z jejich NFT byly odcizeny.
– Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Aby hacker ve své operaci uspěl, nasadil svůj chytrý kontrakt zhruba před měsícem. Budoucí oběti tak měly čas podepsat bez svého vědomí „poloviční transakci“, která by zloději umožnila získat svůj lup zdarma. Jediné, co zloděj musel udělat, bylo konečně potvrdit „prodej“ v době, kterou si zvolil, což mu umožnilo získat zpět několik NFT v rámci jedné transakce.
Techničtější z vás se mohou dozvědět, jak postup probíhá, podrobněji v tomto vlákně:
Vznikl zmatek ohledně OS, takže.
Útočník nechal lidi podepsat polovinu platné objednávky wyverny, objednávka byla v podstatě prázdná kromě cíle (smlouvy útočníka) a calldata, útočník podepsal druhou polovinu objednávky.
– Neso (@Nesotual) February 20, 2022
Poté, co se mu operace podařila, stačilo hackerovi prodat své úlovky a vše vyprat prostřednictvím směšovače Tornado Cash. Soudní spor by tak vyšel na 1,7 milionu dolarů.
Pokud na OpenSea náhodně vezmeme jeden z NFT spojených s tímto hackem, můžeme v historii skutečně vidět, že první transakce je provedena bez náhrady na adresu pachatele a že ji o hodinu později přeprodá za 13,5 ETH.
Lidé jsou stále nejzranitelnějším místem
Ironií je, že to přichází 24 hodin před přechodem NFT platformy na nový chytrý kontrakt. Nová smlouva je opravou posledního hackerského útoku na společnost OpenSea, který umožnil prodej výrazně pod tržní cenou.
O údajné totožnosti pachatele se spekuluje, ale zůstává to spekulací a v době psaní tohoto článku není nic jistého.
V každém případě nám tento hack připomíná, jak je nutné být ostražitý ohledně transakcí, které podepisujeme, a oprávnění, která udělujeme. Na sociálních sítích se množí falešné účty projektů, stejně jako podvodné e-maily nebo soukromé zprávy. Velmi často je první chybou člověk sám. Nikdo není v bezpečí před chybou, a proto bychom nikdy neměli provádět transakce „ve spěchu“ nebo manipulovat se svým majetkem, když náš fyzický a emocionální stav není stoprocentní.