- Wiodący na świecie rynek NFT przyznał się do wystąpienia ataku, ale zaprzeczył, że został zhakowany na kwotę 200 milionów USD w NFT.
- Współzałożyciel i dyrektor generalny OpenSea, Devin Finzer, potwierdził, że był to atak phishingowy, a nie naruszenie strony internetowej.
- Powiedział, że co najmniej 32 użytkowników zostało oszukanych i kliknęło w złośliwy link.
- Firma zajmująca się bezpieczeństwem blockchain PeckShield powiedziała, że atakujący zdołał już "wyprać" NFT o wartości 2,9 miliona dolarów.
OpenSea, największy na świecie rynek NFT poinformował, że prowadzi dochodzenie w sprawie ataku phishingowego, w którym napastnik ukradł użytkownikom niewymienialne tokeny (NFT).
Współzałożyciel i dyrektor generalny platformy, Devin Finzer, potwierdził, że doszło do ataku, ale powiedział, że nie było to naruszenie całej sieci, ale atak phishingowy. Według Finzera, co najmniej 32 użytkowników straciło swoje NFT na rzecz atakującego.
Szef OpenSea powiedział, że pogłoski o włamaniu na wiodący rynek NFT o wartości 200 milionów dolarów są fałszywe.
"Z tego co możemy powiedzieć, jest to atak phishingowy. Nie sądzimy, aby był on powiązany z witryną OpenSea. Wygląda na to, że 32 użytkowników otrzymało złośliwy link od atakującego, a niektóre z ich NFT zostały skradzione" – zauważył w sobotę wieczorem po doniesieniach o ataku.
Peckshield wydaje się dochodzić do tego samego wniosku, że kradzież była wynikiem ataku phishingowego z wykorzystaniem adresów e-mail użytkowników. Według firmy, atak miał miejsce "poza stroną OpenSea".
Do "exploita" doszło w momencie, gdy użytkownicy "migrowali" swoje notowania NFT do nowego smart kontraktu, o czym poinformował ich zespół OpenSea.
Wygląda na to, że Peckshield doszedł do tego samego wniosku, że kradzież była wynikiem ataku phishingowego na adresy e-mail użytkowników. Atak miał swój początek „poza witryną OpenSea”, zauważyła firma.
"Użytkownicy autoryzowali "migrację" zgodnie z instrukcjami zawartymi w wiadomości phishingowej, a autoryzacja niestety pozwoliła hakerowi na kradzież cennych NFT" – wyjaśnił Peckshied.
Finzer powiedział, że napastnik zdołał sprzedać niektóre ze skradzionych NFT za ETH, wynoszące w tym czasie około 1,7 miliona USD.
Aktualizacja z firmy Peckshield zajmującej się bezpieczeństwem blockchain i analizą danych wykazała w niedzielę rano, że oszustowi udało się wyprać około 1100 ETH, co stanowi około 2,9 miliona USD.
The @opensea scammer just made use of @TornadoCash to wash 1,100 ETH…https://t.co/eQCopgqx43 pic.twitter.com/8KB6QxBC8P
— PeckShield Inc. (@peckshield) February 20, 2022
Wśród skradzionych NFT powiązanych z adresem napastnika znalazły się m.in. jednostki z Bored Ape Yacht Club, Doodle, Cool Cats i Azuki.