W sobotę 19 lutego hack pochłonął kilka ofiar wśród użytkowników OpenSea. Złodziej był w stanie wykraść nie-grywalne tokeny (NFT) za darmo poprzez operację phishingową. Przyjrzyjmy się temu, co się stało
A new hack for OpenSea
Ledwie miesiąc po ostatnim włamaniu, platforma OpenSea z niezbywalnymi tokenami (NFT) znów jest w wiadomościach. Choć tym razem nie miało to z nią nic wspólnego, kilku jej użytkowników spotkała w sobotni wieczór niemiła niespodzianka w postaci rozdania im NFT za darmo.
Według Devina Finzera, dyrektora generalnego OpenSea, 32 użytkowników rynku zostało oszukanych poprzez pozwolenie inteligentnemu kontraktowi na transfer ich cennej kolekcji. Metoda phishingu wciąż nie jest znana, ale wada jest tu ludzka i nie odpowiada za nią platforma :
As far as we can tell, this is a phishing attack. Nie sądzimy, aby był on powiązany ze stroną OpenSea. Wygląda na to, że do tej pory 32 użytkowników podpisało złośliwy payload od atakującego, a niektóre z ich NFT zostały skradzione.
– Devin Finzer (dfinzer.eth) (@dfinzer) 20 lutego 2022
Aby odnieść sukces w swojej operacji, haker wdrożył swój inteligentny kontrakt około miesiąc temu. To dawało przyszłym ofiarom czas na podpisanie bez ich wiedzy „pół-transakcji”, dzięki której złodziej mógł otrzymać swój łup za darmo. Wszystko, co złodziej musiał zrobić, to ostatecznie zatwierdzić „sprzedaż” w wybranym przez siebie momencie, co pozwalało mu na odzyskanie kilku NFT w ramach jednej transakcji.
Dla tych bardziej technicznych z was, proces jest wyjaśniony bardziej szczegółowo w tym wątku:
Seen confusion about the OS thing so.
Atakujący kazał ludziom podpisać połowę ważnego zamówienia na wyvernę, zamówienie było w zasadzie puste z wyjątkiem celu (kontrakt atakującego) i calldata, atakujący podpisał drugą połowę zamówienia.
– Neso (@Nesotual) 20 lutego 2022
Po udanej operacji haker musiał już tylko sprzedać swoje połowy i wyprać wszystko przez mikser Tornado Cash. Kwota sporu wyniosłaby zatem 1,7 mln dolarów.
Na OpenSea, jeśli losowo weźmiemy jeden z NFT powiązanych z tym włamaniem, rzeczywiście możemy zobaczyć w historii, że pierwsza transakcja jest dokonana bez wynagrodzenia na adres sprawcy, a on odsprzedaje go godzinę później za 13,5 ETH.
Humans are still the number one vulnerability
Ironia polega na tym, że dzieje się to na 24 godziny przed migracją NFT platformy do nowego smart kontraktu. Nowy kontrakt jest odpowiedzią na ostatnie włamanie do systemu OpenSea, które umożliwiło sprzedaż znacznie poniżej cen rynkowych.
Istnieją pewne spekulacje co do domniemanej tożsamości sprawcy, ale pozostają to spekulacje i w chwili pisania tego tekstu nie ma nic pewnego do powiedzenia.
W każdym razie to włamanie przypomina nam, jak ważne jest zachowanie czujności w odniesieniu do podpisywanych przez nas transakcji i udzielanych przez nas upoważnień. Fałszywe konta projektów są liczne na portalach społecznościowych, podobnie jak phishingowe e-maile czy prywatne wiadomości. Bardzo często pierwszą wadą jest sam człowiek. Nikt nie jest zabezpieczony przed błędem, dlatego nigdy nie powinniśmy dokonywać transakcji „w pośpiechu” lub manipulować naszymi aktywami, gdy nasz stan fizyczny i emocjonalny nie jest stuprocentowy.
