Kezdjük azzal, amit teljesen biztosan tudunk: 32 OpenSea felhasználótól jó pár Bored Ape Club NFT-t és néhány egyéb drága digitális képet is átvettek majd továbbadtak ismeretlen tettesek. Vasárnapra legalább kétmillió dollár értékű ethereumot tartalmazott a tárca, amit az elkövető használt.
A tetteseknek valószínűleg az volt a módszerük, hogy egy adathalász levéllel megszerezték a felhasználók jóváhagyását, ezt pedig egy korábban elkészített biankó okosszerződés futtatására használták fel, amely ingyen átadja a felhasználó NFT-it. Az adathalász levél egy új rendszerszintű okosszerződésre való átállást jelölte.
A lopásra használt okosszerződést meg is találták már. Több hete került fel az Ethereum blockchainre, azaz egy jól előkészített támadásról beszélünk.
Amikor az OpenSea felfedezte a támadást, akkor egyrészt kitett egy figyelmeztetést. Ennek hatékonyságán valamennyit csökkentett a tény, hogy a tettesek is az OpenSea nevében kommunikálva szerezték meg a lopáshoz szükséges adatokat. Illetve mire a bolt észbe kapott, addigra a piacon már egy kisebb pánik uralkodott az eltűnő NFT-k miatt.
Az OpenSea értelmezése szerint az ügyfelei adathalász támadásnak estek áldozatul, a támadók nem az OpenSea hibáját használták fel a lopáshoz. Ugyanakkor még nem világos, hogy a biankó szerződést hogyan tudták aláíratni az ügyfelekkel a támadók. Illetve azt is meg kell fejteni a nyomozóknak, hogy a több száz tranzakciót hogyan tudták villámgyorsan lebonyolítani.
Szólj hozzá