O mais recente ataque à OpenSea levou ao roubo de milhões de dólares em NFT (criptoativos colecionáveis exclusivos). A investigação foi levada a cabo por investigadores da empresa de soluções de cibersegurança, Check Point.
A OpenSea publicou, recentemente, um artigo a pedir aos utilizadores para que movessem as suas listagens para o novo contrato inteligente. O objetivo do pedido é fazer face às listagens inativas existentes de NFTs antigos. Assim, foi requerido a todos os utilizadores que “migrassem” as suas listagens no Ethereum.
O processo de migração foi aproveitado por alguns hackers que decidiram enganar os utilizadores de NFT através de e-mails de phishing em que se faziam passar pela plataforma.
O link enviado remeteria os utilizadores para um website de phishing em que lhes seria pedido que assinassem uma transação que parece ser legítima.
O método dos cibercriminosos
- A vítima carrega no link malicioso a partir do email de phishing.
- O link abre o website de phishing e é pedido à vítima que assine a transferência.
- Ao assinar a transferência um pedido atomicMarch_ seria enviado para o contrato inteligente do atacante.
- O atacante reenvia depois o pedido para a atomicMath em formato de contrato da OpenSea
- O contrato da OpenSea verifica todos os parâmetros do negócio e executa a transferência porque tudo está assinado pela vítima e aprovado.
- O contrato da OpenSea comunica com os contratos de NFT e transfere os NFTs da vítima para o atacante de acordo com os parâmetros da atomicMatch
Através das transações da conta do atacante, a Check Point Research descobriu que a wallet contém mais de 2 milhões de dólares em Ethereum, provindos da venda dos NFTs roubados.
Conselhos de segurança
- Muitos websites e projetos requerem um acesso permanente aos seus NFTs quando enviam uma transferência por assinar. Esta transferência dará aos websites\projetos acesso aos seus NFT’s sempre que quiserem, a não ser que se desaprove a transferência a partir do seguinte link – https://etherscan.io/tokenapprovalchecker.
- Assinar uma transferência é semelhante a dar a alguém a permissão para aceder a todos os seus NFT’s e criptomoedas. Por isto é que assinar é muito perigoso. Tenha atenção redobrada a onde e quando assina uma transferência.
E-mails de phishing são engenhosos. Não clique em links que lhe cheguem via e-mail, independentemente de quem seja o remetente. Tente sempre encontrar a informação partindo diretamente do website.
