A OpenSea, maior mercado de NFTs do mundo anunciou neste domingo (20) que está investigando um ataque que resultou na perda de NFTs dos usuários. A plataforma disse que o incidente parece ser um ataque de phishing não conectado ao seu site.
Apesar da origem do ataque ainda ser indeterminado, o CEO da OpenSea, Devin Finzer, twittou que é provável que seja um ataque de phishing e não está relacionado diretamente com algum problema de segurança na plataforma.
No entanto, ele ressaltou que as investigações ainda estão em andamento.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
US$ 1,8 milhão perdidos após ataque
Ainda na sexta-feira (18), a OpenSea disse que estava realizando uma atualização em seu contrato inteligente que exigiria que os usuários movessem seus ativos da blockchain Ethereum (ETH) para um novo contrato e alertou que os usuários que não realizassem tal ação poderiam perder seus NFTs.
Conforme a pressa dos usuários, hackers viram isso como uma oportunidade, enviando e-mails aos usuários e os enganando a migrar seus NFTs para a conta de outra pessoa. A conta identificada por ter realizado a exploração atualmente detém mais de US$ 1,8 milhão em Ethereum.
O CEO da OpenSea, Devin Finzer, observou que o ataque ocorreu fora de seu site e que 32 usuários perderam seus ativos.
Dados da Blockchain revelam que os hackers conseguiram acessar as carteiras dos usuários e roubar vários NFTs. Até o momento, a lista de NFTs roubados incluem Bored Apes, Mutant Apes e várias outras coleções famosas.
Rumor de hack de 200 milhões
A OpenSea está lutando para determinar o que aconteceu e afirmou que as investigações estão em andamento.
O CEO da OpenSea também disse que os rumores de um hack de US$ 200 milhões na plataforma eram falsos.
“Até onde sabemos, trata-se de um ataque phishing. Não acreditamos que esteja conectado ao site da OpenSea. Parece que 32 usuários até agora assinaram um contrato malicioso de um invasor e alguns de seus NFTs foram roubados.”
As far as we can tell, this is a phishing attack. We don’t believe it’s connected to the OpenSea website. It appears 32 users thus far have signed a malicious payload from an attacker, and some of their NFTs were stolen.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
A empresa de segurança Peckshield chegou à mesma conclusão de que o roubo resultou de um ataque de phishing envolvendo endereços de e-mail de usuários. O ataque se originou “fora do site da OpenSea”, disse a empresa.
A “exploração” aconteceu quando os usuários ‘migraram’ seus NFTs para um novo contrato inteligente, conforme notificado pela equipe do OpenSea.
The @opensea scammer just made use of @TornadoCash to wash 1,100 ETH…https://t.co/eQCopgqx43 pic.twitter.com/8KB6QxBC8P
— PeckShield Inc. (@peckshield) February 20, 2022
“Os usuários autorizam a “migração” conforme instruído no e-mail de phishing e a autorização infelizmente permite que o hacker roube os valiosos NFTs…”, explicou a Peckshied.
A investigação da OpenSea ainda não terminou, mas a empresa já tirou algumas conclusões. De acordo com o CEO, a equipe do projeto está “confiante” de que os tokens foram roubados pelo ataque de phishing fora da plataforma.
OpenSea
A atualização da OpenSea procura resolver o problema com listagens inativas, que permitia que golpistas roubassem NFTs de colecionadores pagando um valor menor do que o preço listado.
Por causa dessa falha, muitos detentores de NFTs na plataforma perderam ativos valiosos por uma fração de seu custo atual.
A OpenSea agora está pedindo aos usuários que atualizem para o novo contrato inteligente para resolver essa falha. No entanto, parece que os usuários ainda não estão fora da zona de perigo, pois agora uma nova ameaça surgiu.
Os usuários que desconhecem a diferença entre os dois contratos estão seguindo cegamente a página falsa criada por hackers e perdendo seus NFTS.
De acordo com um desenvolvedor do Ethereum, Hudson Jameson, este não é um hack na OpenSea, mas um problema de phishing.
“Sinto-me mal que muitas pessoas estão chamando isso de ‘hack’ quando parece que menos de 50 pessoas caíram em um golpe de phishing. É terrível que isso tenha acontecido, mas a OpenSea já tem problemas suficientes e chamar isso de hack aumenta o estresse de sua equipe.”
