Phishing útok na uživatele Opensea vyústil ve ztrátu více než 250 NFT!

V sobotu 19. 2. začaly některým uživatelům platformy OpenSea mizet některé NFT. Po pár hodinách stížností na Twitteru vedení burzy začalo s těmito uživateli spolupracovat. Celkem se jednalo o 32 obětí phishingového útoku, burza toto číslo později zredukovala na 17, neboť u prvních 15 uživatelů nakonec žádné tokeny nezmizely.

As far as we can tell, this is a phishing attack. We don’t believe it’s connected to the OpenSea website. It appears 32 users thus far have signed a malicious payload from an attacker, and some of their NFTs were stolen.

— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022

Bezpečnostní služba PeckShield vytvořila seznam všech ukradených NFT, mezi kterými jsou přítomné tokeny ze známých kolekcí jako třeba Bored Ape Yacht Club či Decentralandu. Hacker byl nejvíce aktivní mezi 5. a 8. hodinou odpoledne, později večer Devin Finzer oznámil, že aktivita hackera ustala a některé NFT již byly navráceny právoplatným majitelům.

The attack doesn’t appear to be active at this point — we haven’t seen any malicious activity from the attacker’s account in 2 hours. Some of the NFTs have been returned.

— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022

Jak útok probíhal?

V tomto případě je vysoce pravděpodobné, že se jednalo o phishingový útok, na vině je tak na jednu stranu samozřejmě hacker, ale také samotný uživatel kvůli své nepozornosti. Hacker postupoval ve třech krocích. Nejdříve nahrál (cca před měsícem) svůj vlastní smart kontrakt, který použil později. V tomto směru je tak útok podobný nedávné krádeži všeho WETH z Wormhole bridge Solany.

Zdroj: etherscan.io

Poté začal různými podvodnými emaily kontaktovat oběti. V těchto zprávách se nacházel i odkaz pro propojení peněženky s “novým smart kontraktem” burzy OpenSea. Ve skutečnosti se ale jednalo o transakci, jejíž potvrzením dali uživatelé tvůrci zmíněného kontraktu možnost nakládat s NFT na jejich peněženkách.

Hackerovi se tedy jistě po pár připojeních rozzářily oči a později spustil vlastní smart kontrakt, díky kterému bylo možné NFT obelstěných uživatelů ukrást.

Zdroj: Twitter.com

Upravená transakce zajišťující přesun NFT na hackerovu peněženku (s novými metadaty obsahující útočníkův smart kontrakt) úspěšně prošla Wyvern protokolem, byla totiž předem potvrzena ze strany uživatelů. Ze záznamů blockchainu není patrná žádná jiná struktura transakcí, všechny oběti tak skutečně musely na phishing naletět a nejedná se ve skutečnosti o pochybení ze strany OpenSea.

Dávejte si na phishing pozor!

Co si z toho odnést? Kryptoměny a zejména DeFi oblast je silně neregulovaného prostředí. Byť je tato vlastnost pro fungování DeFi klíčová (plná decentralizace, tudíž absence regulačního orgánu nebo centrální autority), otevírá zároveň dveře různým formám útoků.

V našem článku o phishingu rozebíráme jeho různé formy, zde se jedná o vydávání se za cizí subjekt (burzu OpenSea). Proto si před jakýmkoliv potvrzováním transakcí vždy dvojnásobně ověřte veškeré důležité informace, zejména webové stránky, které transakci vytvářejí, a odesílatele e-mailu.

Always double check that you are interacting with https://t.co/GKLwAgML2x in your browser when you sign messages.

— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022

Pokud se vám i přes různá opatření skutečně podaří udělit pravomoce potenciálním útočníkům a jste si toho vědomi, můžete využít různé možnosti odebrání přístupu pro manipulaci s vašimi prostředky (zde tedy tokeny NFT). Jedná se tak o zrušení vazby vytvořené předešlým vyvoláním funkce approve() či jiného propojovacího mechanismu.

Zdroj: etherscan.io

Odebrání přístupu je možné provést pro jakoukoliv decentralizovanou aplikaci, tedy i pro různé decentralizované burzy. Tuto možnost tedy můžete využít vždy, pokud si nejste nějakým svým minulým krokem jisti.