OpenSea CEO Devin Finzer diz que a empresa está a trabalhar com os afectados.
Na noite passada, surgiram relatos de que os colectores NFT tinham perdido NFTs e Ethereum das carteiras. OpenSea confirmou agora que o que aconteceu foi um ataque de phishing, que viu mais de 1,7 milhões de dólares em activos transferidos para a carteira maliciosa, agora rotulada de Fake_Phishing5169.
A carteira maliciosa fez as suas primeiras transacções em Dezembro, mas os relatos de actividade de phishing só começaram ontem. Esta carteira também tem estado envolvida com outra carteira que tem sido marcada como parte de um esquema de phishing OpenSea.
Nas últimas 24 horas, foram transferidas numerosas NFTs de colecções com preços de piso elevados, tais como NFTs do Bored Ape Yacht Club, Cool Cats, Doodles, e Azuki NFTs. O endereço Fake_Phishing5169 também tinha feito transacções através de mercados rivais NFT Rarible e LooksRare.
NFTs são fichas criptográficas únicas que existem numa cadeia de bloqueios como o Ethereum. Cada NFT está ligado a um bem, como uma imagem ou um vídeo, o que significa propriedade.
Algumas horas após a notícia ter sido publicada, disse o CEO da OpenSea, Devin Finzer: “Temos confiança que se tratou de um ataque de phishing. Não sabemos onde ocorreu o phishing”. Mas a empresa acredita que o ataque não veio do domínio da OpenSea e que nenhum e-mail legítimo da OpenSea, nem o banner do site OpenSea, levou ao ataque.
“Cunhar, comprar, vender, ou listar itens usando opensea.io não é um vector para o ataque. Em particular, a assinatura do novo contrato inteligente (o contrato Wyvern 2.3) não é um vector para o ataque”, disse Finzer, esclarecendo também que a ferramenta de migração de listagem do OpenSea não estava envolvida no ataque.
“Estamos a trabalhar activamente com utilizadores cujos artigos foram roubados para restringir um conjunto de websites comuns com os quais interagiram e que poderiam ter sido responsáveis pelas assinaturas maliciosas”, acrescentou ele.
Finzer disse que embora tenha havido pausas intermitentes na actividade do atacante, OpenSea continua a investigar a situação. Ele também confirmou que um tópico do utilizador do Twitter Neso é “consistente” com a sua compreensão do que aconteceu. Neso disse que aqueles que perderam bens assinaram metade de uma ordem wyvern válida, que é um protocolo de troca descentralizada que pode executar transferências de bens.
Viu a confusão sobre a coisa do SO assim.
O atacante fez as pessoas assinarem metade de uma ordem wyvern válida, a ordem estava basicamente vazia, excepto o alvo (contrato do atacante) e os calendários, o atacante assina outra metade da ordem.
– Neso (@Nesotual) Fevereiro 20, 2022
Independentemente da origem do ataque, alguns estão confusos com as transacções. Por exemplo, porque é que o golpista de phishing enviou 50 Ethereum ($132.597) para naterivers.eth depois de ter levado alguns dos seus bens e depois os ter devolvido? E porque é que alguns endereços de destino são escondidos pelo procurador do Tornado Cash, mas alguns não o são?
Para evitar a perda indesejada de fichas NFT e Ethereum, é melhor revogar o acesso através da funcionalidade de Aprovação de Ficheiros Etherscan e considerar mover bens valiosos para uma carteira de hardware.
