NFT-veilingmarkt OpenSea is op zaterdag het slachtoffer geworden van een phishing-aanval. Intussen heeft de toonaangevende marktplaats bevestigd dat hierbij een geschatte waarde van 1,7 miljoen dollar aan tokens gestolen werd. Bij de aanval zou een bug in smart contracts gemanipuleerd zijn. OpenSea maakt gebruik van smart contracts op de Ethereum-blockchain voor z’n transacties.
Crypto-phishing: 1,7 miljoen dollar aan NFT’s gestolen via veilingmarkt OpenSea
Waarom is dit belangrijk?
OpenSea is de leider in de verkoop van NFT's, of non-fungible tokens. Recent heeft het platform een investeringssom van 300 miljoen dollar opgehaald, tegen de immense waardering van 13,3 miljard dollar.De dieven hebben bij de hackingoperatie OpenSea-gebruikers misleid tot het gedeeltelijk ondertekenen van smart contracts om de transacties mogelijk te maken. Vervolgens voltooiden ze het contractproces om de NFT’s naar hun eigen adres over te maken, weet Business Insider.
Phishing
De tactiek van de hackers was waarschijnlijk “phishing” – internetfraude waarbij officiële bedrijfscommunicatie wordt vervalst om slachtoffers geld te laten onderschrijven. Op die manier zouden de criminelen de NFT-eigenaren hebben overhaald de contracten te ondertekenen, stelt OpenSea.
“Voor zover we kunnen zeggen, is dit een phishing-aanval. We geloven niet dat er een verband is met de OpenSea-website. Het lijkt erop dat tot nu toe 32 gebruikers een kwaadaardige payload van een hacker hebben ondertekend, en sommige van hun NFT’s zijn gestolen”, stelde OpenSea-CEO Devin Finzer in een reeks tweets.
Bij de OpenSea-diefstal zou misbruik gemaakt zijn van het Wyvern Protocol, dat aan de basis ligt van de meeste smart contract-processen voor NFT’s. Omdat het protocol open source is, is de code publiekelijk beschikbaar.
De slachtoffers zouden de hacker(s) een algemene, grotendeels blanco gelaten machtiging verschaft hebben – zoiets als het tekenen van een blanco cheque. Dit zorgde ervoor dat de dieven het eigendom van de NFT’s konden overdragen zonder dat ze iets van betaling hoefden te doen.
Geen buit van 200 miljoen dollar
In latere tweets ontkrachtte Finzer eerdere suggesties dat de NFT-buit maar liefst 200 miljoen dollar waard was, en verduidelijkte hij dat het aantal slachtoffers was teruggebracht tot 17 individuen.
“De aanvaller heeft 1,7 miljoen dollar aan ETH in zijn wallet van de verkoop van enkele van de gestolen NFT’s”, stipte hij aan.
Minstens 254 NFT’s werden buitgemaakt, volgens cryptoanalysebedrijf PeckShield, hoewel het bedrijf het aantal niet aan Insider heeft bevestigd.
Klein bier… of niet?
Het cryptoverlies is klein bier in vergelijking met de recente grootschalige hackoperatie op een wormhole bridge die de netwerken van Solana en Ethereum met elkaar verbindt; daarbij zou 322 miljoen dollar ontvreemd zijn. Ook daar werd overigens een bug in smart contracts uitgebuit.
Maar dat dergelijke criminaliteit steeds vaker voorkomt, wordt gestaafd door een recent rapport van blockchain-databedrijf Chainalysis. Daaruit bleek dat criminelen in 2021 zo’n 14 miljard dollar aan crypto hebben buitgemaakt; een stijging van 80%.
Aangezien de last wordt afgewenteld op de gebruiker kunnen aanhoudende beveiligingsproblemen een obstakel zijn op het pad naar de wijdverbreide adoptie van crypto, waarschuwen sommige analisten.
(ns)