NFT Pazarı OpenSea Saldırıya Uğradı

Şubat 21, 2022

0 1 dakika okuma süresi

Amiral gemisi bir NFT platformu olan OpenSea, yakın zamanda bir saldırgan tarafından tokenlerini çaldıran kullanıcıların tam sayısını ortaya çıkardı.

Resmi OpenSea Twitter hesabında paylaşılan açıklamaya göre, bir soruşturmanın ilk sonuçları, ilgili herkesin platformun kod tabanı akışının değil, bir kimlik avı saldırısının kurbanı olduğunu zaten kanıtladı.

1) We’ve narrowed down the list of impacted individuals to 17, rather than the previously mentioned 32. Our original count included anyone who had *interacted* with the attacker, rather than those who were victims of the phishing attack.
— OpenSea (@opensea) February 21, 2022

Kurbanların listesi 32 yerine 17 hesaba indirildi. “Uzun liste”, saldırgan sözleşmesiyle bir şekilde etkileşime giren ancak tokenlerini kaybetmeyen kişileri içeriyordu.

OpenSea, saldırganların son 15 saat içinde herhangi bir faaliyet göstermediğini fark etti.

20 Şubat 2022’de dolandırıcılar, OpenSea ekibinin kimliğine bürünen kimlik avı e-postaları göndermeye başladı. Checkpoint siber güvenlik uzmanları, saldırganların kurbanların OpenSea’deki NFT transfer mantıklarından sorumlu bir Atomic Match talebine yetkilendirdiğini ortaya çıkardı.

Ardından, saldırgan aynı isteği yasal bir OpenSea hesabına yeniden gönderdi; NFT sahibi tarafından imzalanan özel, belirtilen etkileşimi nedeniyle, kurbanın tüm belirteçlerinin saldırgana gönderilmesiyle sonuçlandı.

Yazım saatine göre, mağdurların net kayıplarının 1,7 milyon dolar olduğu tahmin ediliyor.

Dharma DeFi protokolünün kurucusu ve OpenSea’nin CTO’su Nadav Hollander, bu saldırının Web3 meraklılarının zincir dışı mesajları imzalamaya yönelik yaklaşımlarını değiştireceğini vurguladı.

OpenSea’nin bu tür saldırıların olasılığını azaltmak ve tüm kullanıcıları olağandışı zincir üstü olaylar hakkında “uyarıda” tutmak için daha güvenli bir sözleşme türüne geçtiğini ekledi.