Brutta sorpresa per alcuni utenti OpenSea: rubati NFT per 1,7 milioni di dollari

Sembra che un attacco phishing abbia sottratto 254 gettoni in tre ore, ma la situazione è poco chiara
Brutta sorpresa per alcuni utenti OpenSea: rubati NFT per 1,7 milioni di dollari
Alessandro Nodari
Alessandro Nodari

Panico tra gli utenti di OpenSea: sabato c'è stato infatti un furto di centinaia di NFT, che secondo Molly White del blog Web3 is going just great corrispondono ad un valore di oltre 1,7 milioni di dollari. Un foglio di calcolo compilato dal servizio di sicurezza blockchain PeckShield ha contato 254 token rubati nel corso dell'attacco, inclusi i token di Decentraland e Bored Ape Yacht Club. 

L'attacco sembra aver sfruttato una flessibilità nel protocollo Wyvern, lo standard open source alla base della maggior parte dei contratti NFT, compresi quelli realizzati su OpenSea. Una possibile spiegazione (anche girata dall'amministratore delegato dell'azienda Devin Finzer su Twitter) descriveva l'attacco in due parti: prima le vittime hanno firmato un contratto parziale, con un'autorizzazione generale e ampie porzioni lasciate in bianco. Poi, avendo a disposizione la firma, gli aggressori hanno completato il contratto, per così trasferire la proprietà delle NFT senza ovviamente corrispondere alcun pagamento. In sostanza, gli obiettivi dell'attacco avevano firmato un assegno in bianco e, una volta firmato, gli aggressori hanno compilato il resto dell'assegno per appropriarsene.

Con un valore di 13 miliardi di dollari in un recente round di finanziamento, OpenSea è diventata una delle aziende di maggior valore del boom NFT, e fa leva sulla semplictà di utilizzo, con un'interfaccia intuitiva e chiara per elencare, sfogliare e fare offerte sui gettoni senza interagire direttamente con la blockchain. A quanto sembra il successo ha portato problemi di sicurezza, poiché la società ha lottato con attacchi che sfruttavano vecchi contratti o gettoni avvelenati per rubare le preziose partecipazioni degli utenti.

Tuttavia, molti dettagli dell'attacco rimangono poco chiari, in particolare il metodo utilizzato dagli aggressori per convincere i bersagli a firmare il contratto in bianco. Secondo Devin Finzer, gli attacchi non hanno avuto origine dal sito Web di OpenSea, dai suoi vari sistemi di quotazione o da eventuali e-mail dell'azienda e la rapidità dell'azione - centinaia di transazioni nel giro di poche ore - suggerisce qualche vettore comune, ma finora non è stato scoperto alcun collegamento.

Via: The Verge
Mostra i commenti