Фишинговая атака на OpenSea, кража на 1.7 млн долларов.

19 февраля 2022 года, пользователи OpenSea стали замечать странную активность на платформе компании. Оказалось, что злоумышленник использовал смарт-контракт для взаимодействия с новым биржевым контрактом OpenSea и кражи NFT на миллионы долларов. nft теперь быстро проверял транзакции. На момент публикации злоумышленник уже украл несколько самых популярных и дорогих NFT в мире у разных пользователей.

Если вы обеспокоены и хотите защитить себя, вы можете отменить разрешение на доступ к своей коллекции NFT здесь .

В конечном итоге среди украденных NFT были четыре Азуки, два Кулмана, два Дудла, два КайдзюКинга, один яхт-клуб обезьян-мутантов (MAYC), один крутой кот и один яхт-клуб скучающих обезьян (BAYC). Затем злоумышленник быстро продал украденные NFT другим пользователям, чтобы получить прибыль. На данный момент злоумышленник продал украденных NFT на сумму более 1,7 миллиона долларов.

Примечание редактора: на момент публикации злоумышленник продал украденных NFT на сумму 700 тысяч долларов. Всего через двадцать минут эта цифра выросла до 1,7 миллиона долларов. Это число продолжало расти в последующие часы. В общей сложности примерно за три часа было украдено двести пятьдесят четыре токена .

Этот шаг не был вызван общим эксплойтом смарт-контракта. Но скорее это скрытая фишинговая атака. Похоже, что хакер использовал вспомогательный контракт, который был развернут 30 дней назад, для вызова контракта ОС, развернутого более четырех лет назад, с действительными данными atomicMatch.

В твите, опубликованном через полчаса после того, как пользователи впервые заметили эту активность, OpenSea подтвердила слухи, заявив, что это была фишинговая атака, инициированная за пределами веб-сайта OpenSea. В сообщении компания призвала пользователей не переходить по ссылкам за пределами официального сайта .

Несколько часов спустя, в 23:00 по восточному стандартному времени, соучредитель и генеральный директор OpenSea Девин Финцер обратился в Twitter , чтобы уточнить, что именно произошло. Финцер повторил, что, согласно внутреннему расследованию, это была фишинговая атака, и заявил, что по меньшей мере 32 пользователя перешли по вредоносной  ссылке от злоумышленника. Кроме того, он отметил, что компания все еще ищет ответы. «Нам неизвестно о каких-либо недавних фишинговых электронных письмах, которые были отправлены пользователям, но в настоящее время мы не знаем, какой веб-сайт обманным путем заставлял пользователей подписывать сообщения», — сказал он.

OpenSea только что представила новое обновление смарт-контракта накануне, 18 февраля 2022 года.

В официальном заявлении об обновлении компания заявила, что оно было разработано для удаления неактивных списков на платформе. «Это новое обновление обеспечит безопасное истечение срока действия старых, неактивных списков на Ethereum и позволит нам предлагать новые функции безопасности в будущем», — сказали они. Из-за обновления все пользователи OpenSea должны были перенести свои списки NFT на новый смарт-контракт.

К сожалению, такие проблемы возникают не впервые. Фактически, это последнее обновление появилось именно потому, что оно было предназначено для исправления предыдущей ошибки, которая также стоила пользователям их денег и NFT.

В январе 2022 года ошибка в OpenSea позволила злоумышленникам покупать защищенные NFT гораздо дешевле, чем они стоили на самом деле. Ошибка, которая была первоначально обнаружена примерно 31 декабря 2021 года, позволяла злоумышленникам совершать покупки по более старым и более низким ценам. Тал Бери, главный технический директор криптокошелька ZenGo, отметил, что один NFT из коллекции BAYC был указан по цене всего 23 эфира в июле 2021 года. Купив его по этому курсу, злоумышленник смог продать его за 135 эфиров.

По сегодняшним меркам это прибыль для злоумышленника приближается к 300 тысячам долларов, и это привело к огромным потерям для неудачливого продавца.

В конечном итоге ошибка возникла из-за того, как платформа OpenSea взаимодействует с блокчейном Ethereum. Чтобы сломать это, платформа часто экономит на плате за газ, размещая предложения локально, а не кодируя их в более широкой цепочке. Однако ошибка в системе позволила старым контрактам оставаться в блокчейне, не появляясь в OpenSea. Многим контрактам уже много лет. Делая предложения по этим контрактам, злоумышленники могут воспользоваться устаревшими ценами.

OpenSea отреагировала на проблему и предложила пользователям своего рода возмещение. К сожалению, многие остались недовольны их предложением.

По иронии судьбы, последнее обновление должно было исправить именно эту ошибку. OpenSea пояснила, что новая система предназначена для того, чтобы позволить отдельным лицам аннулировать все незаполненные контракты, неся при этом минимальные сборы за газ. Однако, похоже, это вызвало еще больше проблем у некоторых пользователей, ставших жертвами фишинговой атаки.