Am Samstag, den 19. Februar, forderte ein Hack mehrere Opfer unter den OpenSea-Nutzern. Der Dieb konnte sich durch eine Phishing-Aktion kostenlos nicht fungible Token (NFT) aneignen. Lassen Sie uns einen Blick auf die Geschehnisse werfen.
Ein neuer Hack für OpenSea
Kaum einen Monat nach ihrem letzten Hack ist die Plattform für nicht fungible Token (NFT) OpenSea erneut in den Schlagzeilen. Obwohl sie dieses Mal nichts dafür konnte, erlebten mehrere ihrer Nutzer am Samstagabend eine böse Überraschung, als ihre NFTs kostenlos abgetreten wurden.
Laut Devin Finzer, dem CEO von OpenSea, wurden 32 Nutzer des Marktplatzes geschädigt, indem sie einem Smart Contract erlaubten, ihre wertvolle Sammlung zu übertragen. Die verwendete Phishing-Methode ist bislang unbekannt, aber die Schwachstelle hier ist also menschlich und liegt nicht in der Verantwortung der Plattform :
Also weit wir das sagen können, ist dies ein Phishing-Angriff. Wir glauben nicht, dass er mit der OpenSea-Website verbunden ist. Es sieht so aus, als hätten 32 Benutzer bisher eine bösartige Payload von einem Angreifer unterschrieben und einige ihrer NFTs wurden gestohlen.
– Devin Finzer (dfinzer.eth) (@dfinzer) Februar 20, 2022
Um seine Operation erfolgreich durchzuführen, setzte der Hacker seinen Smart Contract vor etwa einem Monat ein. Dadurch hatten die zukünftigen Opfer Zeit, ohne ihr Wissen eine „halbe Transaktion“ zu unterzeichnen, die es dem Dieb ermöglichen würde, seine Beute kostenlos zu erhalten. Der Dieb musste nur noch die „Verkäufe“ zu einem Zeitpunkt seiner Wahl endgültig bestätigen, wodurch er manchmal mehrere NFTs in einer einzigen Transaktion zurückerhalten konnte.
Für die technisch versierten unter Ihnen wird der Vorgang in diesem Thread näher erläutert:
Verwirrung über die OS-Sache so.
Attacker had people sign half of a valid wyvern order, the order was basically empty except the target (attacker contract) and calldata, attacker signs other half of order.
– Neso (@Nesotual) February 20, 2022
Nach seiner erfolgreichen Operation musste der Hacker nur noch seinen Fang verkaufen und alles mithilfe des Tornado Cash Mixers weißwaschen. Der Streitwert belief sich somit auf 1,7 Millionen US-Dollar.
Wenn man auf OpenSea wahllos einen der mit dem Hack verbundenen NFTs auswählt, kann man in der Historie tatsächlich sehen, dass eine erste Transaktion ohne Entschädigung an die Adresse des Täters erfolgt und dieser sie eine Stunde später für 13,5 ETH weiterverkauft.
Der Mensch bleibt die Schwachstelle Nummer eins
Die Ironie der Geschichte ist, dass dies 24 Stunden vor der Migration der NFTs der Plattform auf einen neuen Smart Contract geschieht. Dieser bringt eine Korrektur nach dem letzten OpenSea-Hack, der dazu geführt hatte, dass Verkäufe weit unter dem Marktpreis ausgeführt wurden.
Im Zusammenhang mit diesem Fall gibt es einige Spekulationen über die angebliche Identität des Täters, aber das sind Spekulationen, und zum Zeitpunkt des Verfassens dieses Artikels gab es noch nichts, was mit Sicherheit gesagt werden kann.
Wie auch immer, dieser Hack erinnert uns daran, wie wichtig es ist, wachsam zu sein, wenn es darum geht, Transaktionen zu unterzeichnen und Genehmigungen zu erteilen. Es gibt viele gefälschte Projektkonten in sozialen Netzwerken und auch Phishing-Mails oder private Nachrichten. Oft ist die erste Schwachstelle immer noch der Mensch selbst. Niemand ist vor Fehlern gefeit, und deshalb sollten wir niemals „schnelle“ Transaktionen tätigen oder unsere Vermögenswerte manipulieren, wenn unser physischer und emotionaler Zustand nicht 100%ig ist.
