NFT-маркетплейс OpenSea инициировал расследование из-за «слухов об эксплойте», связанном с его смарт-контрактами. В компании заявили, что речь идет о фишинговой атаке — проблем на стороне платформы не обнаружено.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea’s website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
«Мы активно расследуем слухи об эксплойте, связанном со смарт-контрактами OpenSea. Похоже, что это фишинговая атака, исходящая со стороннего ресурса. Не переходите по ссылкам вне opensea.io», — говорится в заявлении.
В пятницу, 18 февраля, состоялся перезапуск смарт-контракта OpenSea. Инициатива призвана удалить с платформы старые предложения о продаже NFT и закрыть уязвимость, которая позволяла приобрести некоторые токены по ценам многомесячной давности, даже если они не отображались в интерфейсе маркетплейса.
19 февраля в сети появились сообщения о кражах с платформы невзаимозаменяемых токенов пользователей. Ходили слухи о взломе на $200 млн, однако соучредитель OpenSea Девин Финцер опроверг эту информацию. По его словам, на адресе злоумышленника находится $1,7 млн в ETH, которые он получил от продажи части украденных NFT.
Importantly, rumors that this was a $200 million hack are false. The attacker has $1.7 million of ETH in his wallet from selling some of the stolen NFTs.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
По данным Финцера, инцидент затронул по крайней мере 32 пользователя. Аналитики компании PeckShield опубликовали список украденных NFT, документ насчитывает 253 позиции. Среди этих активов токены коллекций Bored Ape Yacht Club, Azuki, CloneX, Mutant Ape Yacht Club и другие.
Here is the list of NFTs stolen in @opensea phishing incidenthttps://t.co/s9OmiJu2m3 pic.twitter.com/xE1tFJnDMK
— PeckShieldAlert (@PeckShieldAlert) February 20, 2022
Расследование OpenSea еще не окончено, но компания уже сделала некоторые выводы. По словам Финцера, команда проекта «уверена», что токены украдены в результате фишинговой атаки за пределами платформы.
Соучредитель маркетплейса подчеркнул, что компания исключила следующие векторы атаки:
- взлом почтового сервера OpenSea;
- компрометация сайта платформы, включая инструменты для покупки, продажи или листинга товаров;
- компрометация нового смарт-контракта Wyvern 2.3;
- компрометация инструмента миграции токенов на новый контракт.
Финцер объяснил, что злоумышленник уже прекратил атаку. Он обещал делиться с пользователями информацией об инциденте по мере продвижения расследования.
While the attacker stopped >4 hours ago, our investigation is ongoing. We’ll keep you updated as we learn more about the exact nature of the phishing attack. If you have specific information that could be useful, please DM @opensea_support.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
В PeckShield также сообщили, что токены украдены в ходе фишинговой атаки. По мнению специалистов, пользователям разослали фейковые сообщения о миграции NFT на новый смарт-контракт. После подписания транзакции, ссылку на которую содержали электронные письма, активы украли.
Though unconfirmed, the @opensea hack is most likely phishing. Users authorize the “migration” as instructed in the phishing email and the authorization unfortunately allows the hacker to steal the valuable NFTs… pic.twitter.com/Fj5d9ImC2r
— PeckShield Inc. (@peckshield) February 20, 2022
«К OpenSea остался единственный вопрос: произошла ли утечка информации о пользователях (например, адреса электронной почты), которая позволила провести фишинг?», — добавили в PeckShield.
Соучредитель портала EthHub и соавтор EIP-1559 Эрик Коннер предположил, что атака на маркетплейс могла выглядеть следующим образом:
- четыре недели назад злоумышленник подготовил фишинговую атаку или смарт-контракт;
- с того момента обманным путем он заставлял жертв подписывать действительные ордера и допуски;
- хакер не использовал их, поскольку полагал, что атаку быстро заметят;
- миграция на новый контракт подтолкнула его завершить аферу.
So, the approvals were done legit on opensea by those exploited but the signatures they signed gave the hacker access to fill malicious orders.
— Eric ⌐◨-◨ (@econoar) February 20, 2022
Разработчик под ником 0xfoobar предупредил, что достаточно одной-единственной «вредоносной подписи», чтобы пользователь потерял все свои NFT на платформе.
A single malicious signature can rug *all* of your approved OpenSea NFTs. No need to sign an individual sell order for each one, as originally assumed.
This is how today’s hacker stole 10 Azukis, 8 mfers, and 3 mutant apes in a single transaction, with a single sig. pic.twitter.com/kJQgidthFM
— foobar (@0xfoobar) February 20, 2022
Он считает, что фишинговая атака проведена несколько недель назад, преступник решил завершить ее до истечения срока действия старых листинговых списков. 0xfoobar объяснил, что все украденные токены были размещены на первой версии контракта
Разработчик советовал пользователям отозвать любые выданные OpenSea разрешения. Он подчеркнул, что код платформы не содержит уязвимостей.
Напомним, в феврале 2022 года глава криптовалютной биржи Binance предупредил клиентов о масштабной фишинговой рассылке.
Источник