Začněte psát a výsledky vyhledávání se zobrazí zde...

Phishing útok na uživatele Opensea vyústil ve ztrátu více než 250 NFT!

Publikováno
Phishing útok na uživatele Opensea vyústil ve ztrátu více než 250 NFT!
Zdroj: medium.com

V sobotu 19. 2. začaly některým uživatelům platformy OpenSea mizet některé NFT. Po pár hodinách stížností na Twitteru vedení burzy začalo s těmito uživateli spolupracovat. Celkem se jednalo o 32 obětí phishingového útoku, burza toto číslo později zredukovala na 17, neboť u prvních 15 uživatelů nakonec žádné tokeny nezmizely.

Bezpečnostní služba PeckShield vytvořila seznam všech ukradených NFT, mezi kterými jsou přítomné tokeny ze známých kolekcí jako třeba Bored Ape Yacht Club či Decentralandu. Hacker byl nejvíce aktivní mezi 5. a 8. hodinou odpoledne, později večer Devin Finzer oznámil, že aktivita hackera ustala a některé NFT již byly navráceny právoplatným majitelům.

Jak útok probíhal?

V tomto případě je vysoce pravděpodobné, že se jednalo o phishingový útok, na vině je tak na jednu stranu samozřejmě hacker, ale také samotný uživatel kvůli své nepozornosti. Hacker postupoval ve třech krocích. Nejdříve nahrál (cca před měsícem) svůj vlastní smart kontrakt, který použil později. V tomto směru je tak útok podobný nedávné krádeži všeho WETH z Wormhole bridge Solany.

Zdroj: etherscan.io
Hacker nahrál svůj vlastní smart kontrakt před měsícem
Hacker nahrál svůj vlastní smart kontrakt před měsícem

Poté začal různými podvodnými emaily kontaktovat oběti. V těchto zprávách se nacházel i odkaz pro propojení peněženky s “novým smart kontraktem” burzy OpenSea. Ve skutečnosti se ale jednalo o transakci, jejíž potvrzením dali uživatelé tvůrci zmíněného kontraktu možnost nakládat s NFT na jejich peněženkách.

Hackerovi se tedy jistě po pár připojeních rozzářily oči a později spustil vlastní smart kontrakt, díky kterému bylo možné NFT obelstěných uživatelů ukrást.

Zdroj: Twitter.com
Potvrzení transakce uživatelem
Potvrzení transakce uživatelem

Upravená transakce zajišťující přesun NFT na hackerovu peněženku (s novými metadaty obsahující útočníkův smart kontrakt) úspěšně prošla Wyvern protokolem, byla totiž předem potvrzena ze strany uživatelů. Ze záznamů blockchainu není patrná žádná jiná struktura transakcí, všechny oběti tak skutečně musely na phishing naletět a nejedná se ve skutečnosti o pochybení ze strany OpenSea.

Dávejte si na phishing pozor!

Co si z toho odnést? Kryptoměny a zejména DeFi oblast je silně neregulovaného prostředí. Byť je tato vlastnost pro fungování DeFi klíčová (plná decentralizace, tudíž absence regulačního orgánu nebo centrální autority), otevírá zároveň dveře různým formám útoků.

V našem článku o phishingu rozebíráme jeho různé formy, zde se jedná o vydávání se za cizí subjekt (burzu OpenSea). Proto si před jakýmkoliv potvrzováním transakcí vždy dvojnásobně ověřte veškeré důležité informace, zejména webové stránky, které transakci vytvářejí, a odesílatele e-mailu.

Pokud se vám i přes různá opatření skutečně podaří udělit pravomoce potenciálním útočníkům a jste si toho vědomi, můžete využít různé možnosti odebrání přístupu pro manipulaci s vašimi prostředky (zde tedy tokeny NFT). Jedná se tak o zrušení vazby vytvořené předešlým vyvoláním funkce approve() či jiného propojovacího mechanismu.

Zdroj: etherscan.io
Nástroj pro odebrání přístupu
Nástroj pro odebrání přístupu z dílny Etherscan

Odebrání přístupu je možné provést pro jakoukoliv decentralizovanou aplikaci, tedy i pro různé decentralizované burzy. Tuto možnost tedy můžete využít vždy, pokud si nejste nějakým svým minulým krokem jisti.

Líbil se vám tento článek?
2
0

Autor

Bývalý šéfredaktor, softwarový architekt a nadšenec do kryptografie, kyberbezpečnosti a blockchainu. V rámci Finexu se zaměřuje zejména na technická témata v oblasti kryptoměn. V současnosti působí také jako správce financí v rámci investiční skupiny Icecaps Capital, v níž se zaměřuje na využití strojového učení v algoritmickém obchodování.

Kryptoměny považuje za platidlo budoucnosti řešící řadu problémů s centralizovanou náturou existujících platebních prostředků. DeFi svět považuje za úchvatný a nabízející spoustu skvělých příležitostí.

Přečíst více

Sdílejte tento článek

Mohlo by vás zajímat

Diskuze (0 komentářů)

Připojte se k diskuzi

Tento článek zatím nikdo neokomentoval. Přihlašte se a buďte první! Napište svůj názor a zahajte diskuzi.