Op zaterdag 19 februari heeft een hack verschillende slachtoffers gemaakt onder OpenSea-gebruikers. De dief was in staat om gratis niet-fungibele tokens (NFT) te stelen via een phishingoperatie. Laten we eens kijken wat er gebeurd is.
Een nieuwe hack voor OpenSea
Amper een maand na zijn laatste hack is het niet-fungibele token (NFT) platform OpenSea opnieuw in het nieuws. Hoewel het er deze keer niets mee te maken had, werden verschillende gebruikers zaterdagavond onaangenaam verrast door het feit dat hun NFT’s gratis werden weggegeven.
Volgens Devin Finzer, de CEO van OpenSea, zijn 32 gebruikers van de marktplaats opgelicht door een slim contract toe te staan hun kostbare verzameling over te dragen. De gebruikte phishing-methode is nog onbekend, maar de fout hier is menselijk en niet de verantwoordelijkheid van het platform :
Voor zover we weten, is dit een phishing aanval. Wij geloven niet dat het verbonden is met de OpenSea website. Het lijkt erop dat tot nu toe 32 gebruikers een kwaadaardige payload van een aanvaller hebben ondertekend, en dat sommige van hun NFT’s zijn gestolen.
– Devin Finzer (dfinzer.eth) (@dfinzer) Februari 20, 2022
Om zijn operatie te laten slagen, heeft de hacker zijn slimme contract ongeveer een maand geleden ingezet. Dit gaf toekomstige slachtoffers de tijd om zonder hun medeweten een “halve transactie” te ondertekenen, waardoor de dief zijn buit gratis in ontvangst kon nemen. Het enige wat de dief moest doen, was uiteindelijk de “verkopen” valideren op het tijdstip van zijn keuze, waardoor hij verschillende NFT’s in één enkele transactie kon recupereren.
Voor de meer technische onder u, het proces wordt meer in detail uitgelegd in deze draad:
Seen verwarring over het OS ding dus.
Aanvaller liet mensen de helft van een geldige wyvern order tekenen, de order was in principe leeg behalve het doel (aanvaller contract) en calldata, aanvaller tekent andere helft van order.
– Neso (@Nesotual) Februari 20, 2022
Nadat zijn operatie geslaagd was, hoefde de hacker alleen nog zijn vangsten te verkopen en alles wit te wassen via de Tornado Cash blender. Het geschil zou dus 1,7 miljoen dollar bedragen.
Op OpenSea, als we willekeurig een van de NFT’s nemen die gelinkt zijn aan deze hack, kunnen we in de geschiedenis inderdaad zien dat er een eerste transactie is gedaan zonder compensatie naar het adres van de dader, en dat hij het een uur later doorverkoopt voor 13,5 ETH.
De mens is nog steeds de grootste fout
De ironie is dat dit 24 uur voor de migratie van de NFT’s van het platform naar een nieuw smart contract komt. Het nieuwe contract is een oplossing voor de laatste OpenSea-hack, waardoor verkopen ver onder de marktprijs konden worden uitgevoerd.
Er wordt gespeculeerd over de vermeende identiteit van de dader, maar dit blijft speculatie en op het moment van schrijven is er niets met zekerheid te zeggen.
In ieder geval herinnert deze hack ons eraan hoe noodzakelijk het is om waakzaam te zijn over de transacties die we ondertekenen en de machtigingen die we geven. Valse projectaccounts zijn talrijk op sociale netwerken, net als phishing-e-mails of privéberichten. Heel vaak is de eerste fout de mens zelf. Niemand is veilig voor een fout, en daarom mogen wij nooit “overhaaste” transacties verrichten of onze activa manipuleren wanneer onze fysieke en emotionele toestand niet 100% is.
