OpenSea, eine der beliebtesten und bekanntesten NFT-Handelsplattformen, erlitt einen Hackerangriff, möglicherweise eine Phishing-Kampagne, die 32 Konten kompromittiert und den Diebstahl verursacht hat von insgesamt 254 Token. Es gab mehrere Sammlungen und Werke, die derzeit einen sehr hohen Wert haben, darunter der Bored Ape Yacht Club und das Azuki; Schätzungen zufolge beläuft sich der Gesamtwert des Diebstahls auf 641 ETH, was derzeit ungefähr 1,7 Millionen US-Dollar entspricht.
Der Vorfall ereignete sich am vergangenen Samstag, den 19. Februar. OpenSea begann sofort mit der Untersuchung und gab an, dass der Angriff nicht durch ein Problem verursacht wurde, das direkt mit dem Code der Website zusammenhängt. Laut mehreren Experten wäre die Sache jedoch etwas komplizierter: Hacker hätten tatsächlich ein Feature des Wyvern-Protokolls missbräuchlich ausgenutzt, eines von vielen Plattformen verwendeten Open-Source-Standards, der mit der verwendeten Ethereum-Blockchain zu tun hat Vertragsverwaltung.
Panik brach am 19. Februar aus, als einige Benutzer sahen, wie ihre Brieftaschen von wertvollen NFTs geleert wurden, ohne zu wissen warum; und viele andere befürchteten, dass ihnen dasselbe passieren könnte. Frühe Erklärungen machten einen neuen Vertrag verantwortlich, den OpenSea ausgerollt hatte; oder ein Airdrop von einem neuen NFT-Marktplatz namens X2Y2. Die Leute drängten die NFT-Besitzer, die Genehmigungen sowohl für den OpenSea-Vertrag als auch für X2Y2 zu widerrufen, bis mehr bekannt sei, obwohl eine der beliebtesten Websites, die den Leuten dabei halfen, kurz darauf aufgrund des hohen Verkehrsaufkommens abstürzte.
OpenSea: riesiger Diebstahl von NFTs im Wert von über 1,7 Millionen Dollar am Wochenende
Viele Details des Angriffs müssen noch geklärt werden; Es scheint jedoch, dass die Benutzer dazu veranlasst wurden, eine Teilvereinbarung zu unterzeichnen, die die Übertragung von NFT autorisierte; ohne den entsprechenden Transfer der ETH. Der CEO und Mitgründer von OpenSea, Devin Finzer, bestätigte, dass sich diese Hypothese mit den ersten Ergebnissen der internen Untersuchungen deckt, die jedoch noch andauern.
Die Nachricht kommt zu einem ausgesprochen ungünstigen Zeitpunkt für die Plattform. In letzter Zeit sind mehrere Kontroversen im Zusammenhang mit der Verbreitung gefälschter Werke oder Plagiate aufgetreten; und ein Mitarbeiter kündigte, nachdem festgestellt wurde, dass er illegal Insider-Informationen ausnutzt, um mit NFT-Starts Geld zu verdienen. Nur einen Tag zuvor hatte unter anderem OpenSea einen neuartigen Smart Contract vorgestellt; Aufforderung an Benutzer, alle ihre Assets zu migrieren.
Anderthalb Stunden nachdem Benutzer begannen, fehlende NFTs zu melden, erkannte OpenSea das Problem schließlich an. Sie twitterten, dass sie „Gerüchte über einen Exploit im Zusammenhang mit Smart Contracts im Zusammenhang mit OpenSea aktiv untersuchen“; und schrieben, dass sie glaubten, es handele sich um einen Phishing-Angriff von außerhalb von OpenSea; eher als ein Problem mit ihrem Vertrag. Später wurde festgestellt, dass ein Angreifer erfolgreich 32 OpenSea-Benutzer dazu gebracht hatte, einen böswilligen Vertrag zu unterzeichnen; was es dem Angreifer ermöglichte, die NFTs zu nehmen und sie dann umzudrehen. Seltsamerweise gab der Hacker einige der NFTs an ihre ursprünglichen Besitzer zurück; und ein Opfer erhielt unerklärlicherweise 50 ETH (130.000 $) vom Angreifer sowie einige seiner gestohlenen NFTs zurück.
Quelle/VIA: