Hakerzy OpenSea ukradli warte miliony dolarów tokeny Bored Ape Yacht Club

Niedawno na największym rynku niezamiennych tokenów zhakowano i skradziono przedmioty NFT o wartości kilku milionów dolarów. Atakujący stosowali metodę phishingu, a ofiarami byli kolekcjonerzy, którzy posiadali w portfelach niewymienialne tokeny z kolekcji Bored Ape Yacht Club.

Stało się to znane z komunikatu prasowego z projektu Harpie, który zajmuje się walką z kradzieżą na łańcuchu. Firma poinformowała o tym na swoim koncie na Twitterze. Harpie nazwał tę metodę hakowania najnowszą i podał szczegóły włamania.

Cały sekret, jak można się domyślić, tkwi w smart kontrakcie, który wykorzystuje ukrytą funkcję OpenSea. Te ostatnie umożliwiają „sprzedaż bez gazu”, kiedy użytkownicy mogą kupować i sprzedawać tokeny NFT, podpisując wymaganą inteligentną umowę.

Atakujący wykorzystali phishing, aby oszukać użytkowników i wysłać im podpisane przez nich inteligentne kontrakty. Doprowadziło to do sprzedaży tokenów na prywatnych aukcjach, które organizowali hakerzy z własnymi cenami. Podpisy nie zostały odczytane, a kolekcjonerzy zostali bez tokenów NFT i stracili dużo pieniędzy.

Ofiary ataku phishingowego masowo podpisywały takie smart kontrakty, myśląc, że list pochodzi od administracji portalu w celu zalogowania się na konto i jego ochrony. Wielokrotne akty utraty środków doprowadziły do tego, że użytkownicy OpenSea stracili łącznie kilka milionów dolarów. Dokładna wysokość strat nie jest określona.

Harpie poinformował, że jest teraz w stanie wykryć takie oszustwa związane z aukcjami prywatnymi. Znaleźli nowy sposób na nieuczciwe zdobywanie tokenów NFT przez oszustów, a teraz mogą chronić inwestorów kryptowalutowych przed nowym wektorem ataku w branży kryptowalut.

W sierpniu zarejestrowano przypadek podejrzanej aktywności 143 tokenów Bored Ape Yacht Club. Platforma Immunefi oszacowała ich łączną wartość na 13 580 000 USD.