No fim da tarde de sábado (19), centenas de NFTs foram roubados de usuários da OpenSea em suposto ataque phishing, incluindo tokens de Decentraland e de Bored Ape Yacht Club. Segundo a contagem do serviço de segurança PeckShield, os atacantes roubaram 254 tokens em cerca de três horas.

Pelo menos, 32 usuários foram afetados com o suposto ataque phishing. Estima-se que valor dos tokens roubados ultrapasse US$ 1,7 milhões em ethers (ETH), de acordo com Molly White, do blog Web3 is going just great.

Usuários da OpenSea perdem US$ 1,7 milhões em NFTs em suposto ataque phishing

Imagem: OpenSea/Reprodução

O ataque pode estar relacionado à exploração de uma flexibilidade no Protocolo Wyvern, o padrão de código aberto dos contratos inteligentes de NFT, incluindo os feitos na OpenSea. No Twitter, o CEO da empresa Devin Finzer linkou uma thread, que explicou o ataque em duas etapas: primeiramente, os alvos assinaram um contrato parcial, com uma autorização geral e com vários campos em branco. Com a assinatura, os atacantes completaram com uma informações para o próprio contrato, o qual transferiu a propriedade das NFTs sem pagamento.

Um usuário que atende por Neso disse ter verificado cada transação. “Todos eles têm assinaturas válidas das pessoas que perderam NFTs, então qualquer um que afirma não ter sido vítima de phishing mas que perdeu NFTs está tristemente errado”, tweetou.

De acordo com informações blog de White, algumas das NFTs roubadas foram devolvidas a seus proprietários originais. “Uma vítima recebeu inexplicavelmente 50 ETH ($130.000) do atacante, bem como a devolução de algumas NFTs roubadas. Mais tarde, o atacante transferiu 1.115 ETH obtidos do ataque para um tumbler de moedas criptográficas, no valor de cerca de 2,9 milhões de dólares”.

Games blockchain e NFTs: como saber se vale a pena investir?

Imagem: Shutterstock

Um pouco antes do ataque ocorrer, a OpenSea estava em processo de atualizar o sistema de contratos, entretanto ela nega o ataque tenha se originado com os novos contratos. No Twitter, o CEO da empresa, Devin Finzer defendeu que os ataques não tinham se originado no site, sistemas de listagem ou quaisquer e-mails da empresa. O ritmo rápido e com centenas de transações em questões de horas sugerem um vetor comum, apesar de muitos detalhes permanecerem pouco claros e sem ligações. “Vamos mantê-lo atualizado enquanto aprendemos mais sobre a natureza exata do ataque de phishing”, disse Finzer no Twitter. “Se você tiver informações específicas que possam ser úteis, por favor DM @opensea_support”.

 

Com informações de The Verge e Web3 is going just Great

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Subscribe
Notify of
0 Comentários
Inline Feedbacks
View all comments