No sábado 19 de Fevereiro, um hack reclamou várias vítimas entre os utilizadores do OpenSea. O ladrão foi capaz de roubar fichas não fungíveis (NFT) de graça através de uma operação de phishing. Vamos ver o que aconteceu.
Um novo hack para OpenSea
Apenas um mês após o seu último hack, a plataforma OpenSea não-fungível (NFT) está de volta às notícias. Embora desta vez não tivesse nada a ver com isso, vários dos seus utilizadores tiveram a desagradável surpresa, na noite de sábado, de terem as suas NFTs dadas de graça.
De acordo com Devin Finzer, CEO da OpenSea, 32 utilizadores do mercado foram defraudados ao permitir um contrato inteligente para transferir a sua preciosa colecção. O método de phishing utilizado é ainda desconhecido, mas a falha aqui é humana e não da responsabilidade da plataforma :
Tanto quanto podemos dizer, isto é um ataque de phishing. Não acreditamos que esteja ligado ao sítio web OpenSea. Parece que até agora 32 utilizadores assinaram uma carga útil maliciosa de um atacante, e alguns dos seus NFTs foram roubados.
– Devin Finzer (dfinzer.eth) (@dfinzer) Fevereiro 20, 2022
Para ter sucesso na sua operação, o hacker implementou o seu contrato inteligente há cerca de um mês. Isto deu às futuras vítimas tempo para assinar uma “meia-transacção” sem o seu conhecimento, o que permitiria ao ladrão receber o seu saque de graça. Tudo o que o ladrão tinha de fazer era validar finalmente as “vendas” no momento da sua escolha, permitindo-lhe recuperar vários NFTs numa única transacção.
Para os mais técnicos entre vós, o processo é explicado em mais pormenor neste tópico:
Viu-se a confusão sobre a coisa do SO assim.
O atacante fez as pessoas assinarem metade de uma ordem wyvern válida, a ordem estava basicamente vazia, excepto o alvo (contrato do atacante) e os calendários, o atacante assina outra metade da ordem.
– Neso (@Nesotual) Fevereiro 20, 2022
Depois de ter tido sucesso na sua operação, o hacker só teve de vender as suas capturas e lavar tudo através do misturador Tornado Cash. O litígio ascenderia assim a 1,7 milhões de dólares.
No OpenSea, se tomarmos aleatoriamente um dos NFT ligados a este hack, podemos de facto ver na história que uma primeira transacção é feita sem compensação para o endereço do culpado, e que ele a revende uma hora depois por 13,5 ETH.
Humano continua a ser a falha número um
A ironia é que isto vem 24 horas antes da migração dos NFTs da plataforma para um novo contrato inteligente. O novo contrato é uma correcção para o último hack OpenSea que permitiu que as vendas fossem executadas muito abaixo dos preços de mercado.
Há alguma especulação quanto à alegada identidade do culpado, mas isto continua a ser especulação e no momento em que se escreve nada há a dizer com certeza.
Em qualquer caso, este hack lembra-nos como é necessário estar vigilante sobre as transacções que assinamos e as autorizações que damos. As contas falsas de projectos são numerosas nas redes sociais, assim como os e-mails de phishing ou mensagens privadas. Muito frequentemente, a primeira falha é o próprio ser humano. Ninguém é imune a erros, e é por isso que é aconselhável nunca fazer transacções “à pressa” ou manipular os seus bens quando o seu estado físico e emocional não é 100%.
