OpenSea: plataforma investiga rumores de roubo multimilionário de NFTs
Ontem (19), o mercado de tokens não fungíveis (NFTs) teve um dia agitado, após milhões de dólares em NFTs terem sido tomados da plataforma OpenSea por um hacker.
De início, a OpenSea não sabia se os ativos haviam sido roubados por meio de uma violação, devido a um erro da plataforma, ou por meio de um ataque de phishing, o que é modo comum para hackers acessarem contas por meio de e-mails falsos.
Em um tuíte escrito ontem, a plataforma informou: “Estamos investigando ativamente os rumores de um ataque associado aos contratos autônomos da OpenSea. Isso parece ser um ataque de phishing com origem externa ao site da OpenSea”.
Segundo o The Block, o hacker roubou US$ 3 milhões em NFTs, incluindo itens de coleções conhecidas, como Bored Ape Yacht Club (BAYC), Azuki e Clone X.
Em um tuíte compartilhado ontem à noite, o cofundador da OpenSea, Devin Finzer, disse que a empresa estava investigando o ataque, e acreditava que este teria tido origem em um ataque de phishing.
Finzer acrescentou: “Não acreditamos que esteja conectado ao site da OpenSea. Aparentemente, 32 usuários assinaram um pagamento malicioso de um hacker, e alguns dos NFTs [desses usuários] foram roubados.”
O cofundador da OpenSea sugeriu que os usuários impactados contatem a empresa por meio do perfil de suporte da plataforma no Twitter.
Atualização às 13h07min:
Há alguns dias, a OpenSea enviou a seus usuários um e-mail notificando-os sobre a atualização dos contratos autônomos da plataforma. O e-mail da companhia somente informava os usuários, sem qualquer link a ser clicado.
No entanto, o ataque de phishing realizado pelo hacker usou uma cópia idêntica ao e-mail oficial da plataforma, mas com um link.
Segundo um usuário no Twitter identificado como CyphrETH, o hacker conseguiu, por meio do link, que usuários da OpenSea assinassem permissões por meio da Wyvern Exchange, o que possibilitou ao hacker tomar os NFTs.
Calling it now.
The hacker used a standard phishing email copying the genuine #Opensea one sent out a few days ago, then got a number of people to sign permissions with WyvernExchange.
No exploit, just people not reading sign permissions as normal. pic.twitter.com/bQj5JCzp6B
— ℭ????.Ξ?? (@CyphrETH) February 20, 2022
A atualização dos contratos autônomos da OpenSea impacta somente aqueles que têm NFTs listados na plataforma, pois deverão migrar para o novo contrato autônomo. O link para realizar essa migração foi disponibilizado no site da OpenSea, e não via e-mail.