В субботу, 19 февраля, жертвами взлома стали несколько пользователей OpenSea. Вор смог бесплатно украсть неиграбельные токены (NFT) с помощью фишинговой операции. Давайте посмотрим, что произошло
Новый хак для OpenSea
Спустя всего месяц после последнего взлома платформа неиграбельных токенов (NFT) OpenSea снова в новостях. Хотя на этот раз он не имел к этому никакого отношения, несколько его пользователей получили неприятный сюрприз в субботу вечером — их NFT раздавали бесплатно.
По словам Девина Финзера, генерального директора OpenSea, 32 пользователя торговой площадки были обмануты, позволив смарт-контракту передать свою коллекцию драгоценностей. Используемый метод фишинга пока неизвестен, но недостаток здесь человеческий, а не ответственность платформы :
Насколько мы можем судить, это фишинговая атака. Мы не считаем, что он связан с сайтом OpenSea. Похоже, что 32 пользователя подписали вредоносную полезную нагрузку от злоумышленника, и некоторые из их NFT были украдены.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Чтобы добиться успеха в своей операции, хакер развернул свой смарт-контракт около месяца назад. Это давало будущим жертвам время подписать без их ведома «полусделку», которая позволила бы вору получить награбленное бесплатно. Все, что нужно было сделать вору, это окончательно подтвердить «продажи» в выбранное им время, что позволяло ему вернуть несколько НФТ за одну транзакцию.
Для более технически подкованных людей процесс объясняется более подробно в этой теме:
Появилась путаница с ОС, поэтому.
Нападающий заставил людей подписать половину действительного приказа виверна, приказ был практически пуст, кроме цели (контракт нападающего) и calldata, нападающий подписал другую половину приказа.
— Neso (@Nesotual) February 20, 2022
После успеха своей операции хакеру оставалось только продать свой улов и отмыть все через блендер Tornado Cash. Таким образом, сумма судебного разбирательства составит 1,7 миллиона долларов.
На OpenSea, если мы наугад возьмем один из НФТ, связанных с этим взломом, мы действительно можем увидеть в истории, что первая транзакция совершается без компенсации на адрес виновника, и что он перепродает его через час за 13,5 ETH.
Люди по-прежнему являются уязвимостью номер один
Ирония заключается в том, что это происходит за 24 часа до перехода NFT платформы на новый смарт-контракт. Новый контракт — это исправление последнего взлома OpenSea, который позволил осуществлять продажи по ценам значительно ниже рыночных.
Существуют некоторые предположения относительно предполагаемой личности преступника, но это остается предположением, и на момент написания статьи ничего нельзя сказать наверняка.
В любом случае, этот взлом напоминает нам о необходимости быть бдительными в отношении транзакций, которые мы подписываем, и авторизаций, которые мы даем. Поддельные аккаунты проектов в социальных сетях многочисленны, как и фишинговые электронные письма или личные сообщения. Очень часто первым недостатком является сам человек. Никто не застрахован от ошибки, и именно поэтому мы никогда не должны совершать сделки «в спешке» или манипулировать своими активами, когда наше физическое и эмоциональное состояние не на 100%.
