Negli ultimi giorni, in particolare lo scorso sabato 19 febbraio, sono circolati alcuni rumor secondo cui la piattaforma di NFT Opensea sarebbe stata soggetta ad un attacco hacker.
Infatti, sabato scorso alcuni utenti hanno riportato che alcuni NFT della collezione dei Cool Cats e Doodle sarebbero stati rubati, per un totale di 254 opere.
Così il co-founder della piattaforma, Devin Finzer è intervenuto ed ha dichiarato che in realtà si sarebbe trattato di un attacco phishing non direttamente ai danni della piattaforma.
“Non crediamo sia connesso al sito di Opensea”
ha spiegato Finzer nel suo tweet di domenica. Qui l’originale:
As far as we can tell, this is a phishing attack. We don’t believe it’s connected to the OpenSea website. It appears 32 users thus far have signed a malicious payload from an attacker, and some of their NFTs were stolen.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Summary
Chi è stato colpito dall’hackeraggio
In sostanza, l’attacco phishing avrebbe colpito 32 utenti che sono stati derubati dagli hacker. L’attacco pare sia durato circa 3 ore (dalle 5 pm alle 8 pm ET).
In particolare, questi sono gli address che pare siano stati attaccati e quindi derubati.
Ora l’address è stato segnalato e sull’explorer EtherScan è stato segnalato come “Fake_Phishing5169”. Attualmente esso contiene un saldo di ben 641 Ethereum, ovvero attualmente 1.7 milioni di dollari.
L’attacco hacker ruba NFT, ma non è colpa di Opensea
Secondo alcune informazioni più dettagliate, l’attacco pare abbia sfruttato una falla del protocollo Wyvern, uno standard open source che si cela alla base di tanti smart contract di molte piattaforme NFT.
L’attacco pare sia stato strutturato in due fasi: per prima cosa ha colpito una parte del contratto con un’autorizzazione generale e molte informazioni lasciate in bianco.
Con la firma in atto, gli hacker hanno poi completato lo smart contract con una call diretta al proprio contratto che ha automaticamente trasferito gli NFT senza neanche che avvenisse alcun pagamento.
In sostanza, i wallet dei malcapitati avevano firmato un contratto in bianco e, una volta firmato, gli aggressori hanno compilato il resto per rubare i non fungible token delle vittime.