Os golpistas aproveitaram uma iniciativa de migração de contrato para enganar os usuários de NFTs em um ataque de phishing oportunista.
Na semana passada, o mercado NFT OpenSea anunciou o lançamento de migrações de contrato e uma atualização para garantir que as listagens de NFT antigas e inativas no Ethereum expirem com segurança e para permitir que a OpenSea “ofereça novos recursos de segurança no futuro”.
O cronograma de migração do contrato foi configurado de 18 a 25 de fevereiro.
Os detentores de NFT são obrigados a fazer a alteração e o OpenSea publicou um guia para ajudá-los. Após o prazo, todas as listagens que não fossem migradas expirariam, embora pudessem ser listadas novamente após essa janela sem taxas adicionais.
No entanto, um invasor viu uma oportunidade de lucrar. A Check Point Research sugeriu que e-mails de phishing foram enviados aos usuários, vinculando-os a sites fraudulentos.
“Alguns hackers aproveitaram o processo de atualização e decidiram enganar os usuários da NFT usando o mesmo e-mail do OpenSea e reenviando-o para as vítimas do OpenSea”, disseram os pesquisadores.
Os usuários do Marketplace teriam sido solicitados a clicar em um link e assinar uma transação maliciosa que foi criada para parecer uma solicitação legítima do OpenSea.
Segundo os pesquisadores, o invasor criou seu contrato antes da transição e fez uso do atomicMatch_, uma forma de solicitação “capaz de roubar todos os NFTS da vítima em uma transação”.
O carteira conectado ao ataque de phishing detinha mais de dois milhões de dólares depois que alguns dos NFTs roubados foram vendidos, observou o CPR, embora no momento da redação deste artigo restasse pouco mais de US $ 8.000 na conta. No total, houve mais de 350 transações deste endereço de carteira, incluindo depósitos e saques.
Originalmente, acreditava-se que 32 usuários tiveram seus NFTs roubados depois de serem vítimas do ataque de phishing.
“O ataque não parece estar ativo neste momento – não vimos nenhuma atividade maliciosa da conta do invasor em 2 horas”, disse o CEO da OpenSea, Devin Finzer, em 20 de fevereiro. “Alguns dos NFTs foram devolvidos. […] Não temos conhecimento de nenhum e-mail de phishing recente que tenha sido enviado aos usuários, mas no momento não sabemos qual site estava enganando os usuários para assinar mensagens maliciosas.”
Dentro uma atualizaçãoa OpenSea disse que sua equipe está trabalhando “ininterruptamente” para investigar, e esse número de vítimas suspeitas foi reduzido para 17.
“Nossa contagem original incluía qualquer pessoa que *interagisse* com o invasor, em vez daqueles que foram vítimas do ataque de phishing”, disse a OpenSea.
Já se passaram mais de 22 horas desde a última transação fraudulenta feita na carteira do invasor.
Nadav Hollander, CTO da OpenSea, publicou um Tópico do Twitter contendo o entendimento atual da organização sobre o ataque, que a empresa não acredita ter sido originado da OpenSea.
“Todos os pedidos maliciosos contêm assinaturas válidas dos usuários afetados, indicando que eles assinaram um pedido em algum lugar, em algum momento”, disse Hollander. “No entanto, nenhum desses pedidos foi transmitido para a OpenSea no momento da assinatura.”
Além disso, as ordens não foram executadas no novo contrato Wyvern 2.3.
Hollander comentou:
“32 usuários [note: now estimated to be 17] tiveram NFTs roubados em um período de tempo relativamente curto. Isso é extremamente lamentável, mas sugere um ataque direcionado em oposição a um problema sistêmico.
Essas informações, juntamente com nossas discussões com usuários afetados e investigação de especialistas em segurança, sugerem uma operação de phishing que foi executada antes da suspensão do contrato 2.2, devido à invalidação iminente desses pedidos maliciosos coletados.
Embora pareça que o ataque foi feito de fora da OpenSea, estamos ajudando ativamente os usuários afetados e discutindo maneiras de fornecer assistência adicional.”
Especialista em segurança cibernética Dan Guido também destacou os problemas de segurança inerentes às carteiras e sua exposição a campanhas de phishing.
A OpenSea continua investigando.
Em outras notícias recentes da NFT, os pesquisadores da Fortinet alertaram que os ciberataques estão aproveitando o hype da NFT para espalhar o malware BitRAT.
Cobertura anterior e relacionada
Tem uma dica? Entre em contato com segurança via WhatsApp | Sinal em +447713 025 499, ou em Keybase: charlie0
source – www.zdnet.com
