Ένας ή περισσότεροι χάκερς κλέβουν ενεργά και ανταλλάσσουν υψηλής αξίας NFTs από χρήστες στο OpenSea, το μεγαλύτερο ανταλλακτήριο NFTs στον κόσμο, προκαλώντας χάος και σύγχυση στην ευρύτερη κοινότητα των NFTs.
Ο τρέχων μηχανισμός του hack είναι προς το παρόν άγνωστος, αλλά το OpenSea τοποθέτησε ένα red flag στην κορυφή του ιστότοπου του τις προάλλες, μιλώντας για ένα exploit που αφορούν έξυπνα συμβόλαια σχετικά με το OpenSea. Από ότι φαίνεται, πρόκειται για επίθεση phishing που προέρχεται εκτός του ιστότοπου της OpenSea, χωρίς να κάνουν κλικ εκτός του opensea.io.
Το OpenSea απαιτεί προς το παρόν από τους χρήστες που καταχωρίζουν NFTs στον ιστότοπο να κάνουν update σε ένα νέο έξυπνο συμβόλαιο, το οποίο διορθώνει το ζήτημα με ανενεργές καταχωρήσεις που επέτρεπε στους απατεώνες να αρπάζουν πολύτιμα NFTs από συλλέκτες στο OpenSea. Οι εικασίες μιλούν για έναν κακόβουλο χρήστη, ο οποίος αλιεύει άτομα με ψεύτικο προφίλ σχεδιασμένο να μοιάζει με αυτό που χρησιμοποιείται για την αναβάθμιση σε αυτό το νέο smart συμβόλαιο.
Τα αρχεία blockchain δείχνουν ότι αυτός που έκανε την επίθεση ήταν σε θέση να μεταφέρει πολλά NFTs από διαφορετικούς χρήστες στη διεύθυνσή του δωρεάν. Τα κλεμμένα NFTs περιλάμβαναν παραδείγματα από το Bored Ape Yacht Club, το Mutant Ape Yacht Club και διάφορες άλλες δημοφιλείς συλλογές. Ο χάκερ έχει ήδη πουλήσει μερικά από τα NFTs ενώ το πορτοφόλι του περιέχει πάνω από 600 ETH αξίας σχεδόν 2 εκατ. δολαρίων.
Υπάρχουν ενδείξεις ότι ο χάκερ επιστρέφει κάποια από τα παράνομα αποκτηθέντα αγαθά του. Σε μια περίπτωση, ο χάκερ έκλεψε πολλά NFT από έναν χρήστη, συμπεριλαμβανομένου ενός πολύτιμου BAYC NFT. Ο χάκερ επέστρεψε όλα τα NFTs εκτός από το BAYC, το οποίο μέχρι στιγμής είναι «παγωμένο» στο OpenSea.
Ο γνωστός ερευνητής ασφαλείας Dan Guido έγραψε σχετικά στο Twitter ότι “η ασφάλεια των web3 πλατφορμών εξαρτάται εξ ολοκλήρου από πορτοφόλια με καθολικά κακή ασφάλεια UX, και υπάρχουν πολύ λίγα που μπορούν να κάνουν οι πλατφόρμες γι’ αυτό”.
