Аферисты воспользовались инициативой по миграции контрактов, чтобы выманить у пользователей NFT-токены в ходе оппортунистической фишинговой атаки.
На прошлой неделе торговая площадка NFT OpenSea объявила о начале миграции контрактов и обновлении, чтобы убедиться, что старые неактивные NFT-листинги на Ethereum безопасно истекают и «предложить новые функции безопасности в будущем».
Сроки миграции контрактов были установлены с 18 по 25 февраля.
Держатели NFT должны произвести соответствующие изменения, а OpenSea опубликовала руководство, чтобы помочь им. По истечении срока все листинги, которые не были перенесены, теряли силу, хотя они могли быть повторно внесены после этого окна без дополнительных сборов.
Однако злоумышленники увидели возможность нажиться на этом. Команда Check Point Research предположила, что пользователям были разосланы фишинговые электронные письма, связывающие их с мошенническими веб-сайтами.
«Некоторые хакеры воспользовались процессом обновления и решили обмануть пользователей NFT, используя письмо от OpenSea и повторно отправив его жертвам» - заявили исследователи.
Сообщается, что пользователям предлагалось перейти по ссылке и подписать вредоносную транзакцию, которая была составлена так, чтобы выглядеть как легальный запрос OpenSea.
По словам исследователей, злоумышленник создал свой контракт до перехода и использовал форму запроса atomicMatch_ «способную украсть все NFTS жертвы в одной транзакции».
В кошельке, связанном с фишинговой атакой, хранилось более двух миллионов долларов после того, как часть украденных NFT была продана, отметили в CPR, хотя на момент написания статьи на счету осталось чуть более 8 000 долларов. В общей сложности с этого адреса кошелька было проведено более 350 транзакций, включая депозиты и снятие средств.
Первоначально считалось, что у 32 пользователей были украдены NFT после того, как они стали жертвами фишинговой атаки.
«На данный момент атака не выглядит активной - мы не видели никакой вредоносной активности с аккаунта злоумышленника в течение 2 часов» - заявил 20 февраля генеральный директор OpenSea Девин Финзер. «Некоторые из NFT были возвращены. Мы не знаем о каких-либо новых фишинговых письмах, которые были отправлены пользователям, на данный момент нет данных, какой веб-сайт обманом заставил пользователей подписывать сообщения».
В обновлении OpenSea заявила, что ее команда работает «круглосуточно» над расследованием, и число предполагаемых жертв сократилось до 17.
«Наш первоначальный подсчет включал всех, кто взаимодействовал со злоумышленником, а не тех, кто стал жертвой фишинговой атаки» - заявили в OpenSea.
С момента последней мошеннической операции, совершенной в кошельке злоумышленника, прошло уже более 22 часов.
Надав Холландер, технический директор OpenSea, опубликовал в Twitter сообщение, в котором изложил текущее понимание компании относительно атаки, которая, по мнению компании, не исходила изнутри OpenSea.
«Все вредоносные ордера содержат действительные подписи от пострадавших пользователей, что указывает на то, что они действительно подписали ордер где-то, в какой-то момент времени» - заявил Холландер. «Однако ни один из этих ордеров не был передан в OpenSea в момент подписания».
Кроме того, ордеры не были выполнены по новому контракту Wyvern 2.3.
Холландер прокомментировал это:
"За относительно короткий период времени у 32 пользователей [примечание: теперь их, по оценкам, 17] были украдены NFT. Это крайне прискорбно, но говорит о целенаправленной атаке, а не о системной проблеме. Эта информация, в сочетании с нашими беседами с пострадавшими пользователями и расследованиями экспертов по безопасности, позволяет предположить, что это была фишинговая операция, которая была проведена в преддверии отмены контракта 2.2, учитывая предстоящее аннулирование этих собранных вредоносных ордеров. Несмотря на то, что, судя по всему, атака была совершена из-за пределов OpenSea, мы активно помогаем пострадавшим пользователям и обсуждаем способы оказания им дополнительной помощи».
Эксперт по кибербезопасности Дэн Гвидо также отметил проблемы безопасности, присущие кошелькам, и их подверженность фишинговым кампаниям. Компания OpenSea продолжает расследование.
Источник: https://is-systems.org