Sabato 19 febbraio, un hack ha fatto diverse vittime tra gli utenti di OpenSea. Il ladro è stato in grado di rubare gratuitamente i token non fungibili (NFT) attraverso un’operazione di phishing. Diamo un’occhiata a quello che è successo.
Un nuovo hack per OpenSea
Appena un mese dopo il suo ultimo hack, la piattaforma di token non fungibili (NFT) OpenSea è di nuovo nelle notizie. Anche se questa volta non c’entra niente, diversi utenti hanno avuto la sgradevole sorpresa sabato sera di vedersi regalare i loro NFT.
Secondo Devin Finzer, CEO di OpenSea, 32 utenti del marketplace sono stati defraudati permettendo a un contratto intelligente di trasferire la loro preziosa collezione. Il metodo di phishing utilizzato è ancora sconosciuto, ma il difetto qui è umano e non la responsabilità della piattaforma :
Per quanto possiamo dire, questo è un attacco di phishing. Non crediamo che sia collegato al sito web di OpenSea. Sembra che 32 utenti finora abbiano firmato un payload malevolo da un attaccante, e alcuni dei loro NFT sono stati rubati.
– Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Per riuscire nella sua operazione, l’hacker ha distribuito il suo contratto intelligente circa un mese fa. Questo dava alle future vittime il tempo di firmare una “mezza transazione” a loro insaputa, che avrebbe permesso al ladro di ricevere il suo bottino gratuitamente. Tutto quello che il ladro doveva fare era convalidare finalmente le “vendite” al momento della sua scelta, permettendogli di recuperare diversi NFT in una sola transazione.
Per i più tecnici, il processo è spiegato più dettagliatamente in questo thread:
Ho visto confusione sulla cosa del sistema operativo quindi.
L’attaccante ha fatto firmare metà di un ordine valido di wyvern, l’ordine era praticamente vuoto tranne l’obiettivo (contratto dell’attaccante) e i dati di chiamata, l’attaccante firma l’altra metà dell’ordine.
– Neso (@Nesotual) February 20, 2022
Dopo essere riuscito nella sua operazione, l’hacker doveva solo vendere le sue catture e riciclare tutto attraverso il frullatore Tornado Cash. Il contenzioso ammonterebbe così a 1,7 milioni di dollari.
Su OpenSea, se prendiamo a caso uno degli NFT legati a questo hack, possiamo effettivamente vedere nella cronologia che una prima transazione viene fatta senza compensazione all’indirizzo del colpevole, e che lo rivende un’ora dopo per 13,5 ETH.
Gli esseri umani sono ancora la vulnerabilità numero uno
L’ironia è che questo arriva 24 ore prima della migrazione degli NFT della piattaforma a un nuovo contratto intelligente. Il nuovo contratto è una correzione per l’ultimo hacking di OpenSea che ha permesso di effettuare vendite ben al di sotto dei prezzi di mercato.
C’è qualche speculazione sulla presunta identità del colpevole, ma questa rimane una speculazione e al momento di scrivere non c’è nulla da dire con certezza.
In ogni caso, questo hack ci ricorda quanto sia necessario essere vigili sulle transazioni che firmiamo e sulle autorizzazioni che diamo. I falsi account dei progetti sono numerosi sui social network, così come le e-mail di phishing o i messaggi privati. Molto spesso, il primo difetto è l’essere umano stesso. Nessuno è al sicuro da un errore, ed è per questo che non dovremmo mai fare transazioni “in fretta” o manipolare i nostri beni quando il nostro stato fisico ed emotivo non è al 100%.
