Tra sabato e domenica è stato riscontrato un attacco di mail phishing mirato, rivolto a utenti della piattaforma OpenSea, e così sono riusciti a rubare la proprietà per centinaia di smart contract NFT ai legittimi proprietari.
Per un controvalore che si aggira intorno a 1,7 milioni di dollari in ETH, 32 utenti di OpenSea, la più popolare piattaforma di interscambio NFT (Non-Fungible Token), sono stati presi di mira e privati delle loro proprietà, con un ritmo massivo. Infatti, sono state registrate e tracciate in un foglio di calcolo dal servizio di sicurezza blockchain PeckShield, 254 transazioni fraudolente nel corso dell’attacco. Il tutto nello stretto raggio di poche ore, dettaglio che fa pensare ad un’operazione di phishing.
Indice degli argomenti
Com’è avvenuto l’attacco phishing a NFT OpenSea
In un primo momento si è paventata la possibilità di un preoccupante hack contro la piattaforma OpenSea, ma dopo le prime ricostruzioni l’azienda, tramite il proprio CEO, ha comunicato in merito all’incidente, escludendo ogni riferimento della vicenda con sfruttamenti di vulnerabilità o vettori di attacco interni ai sistemi OpenSea.
This attack did not originate on https://t.co/TYuT1WACso.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Sembra invece responsabilità dei singoli utenti l’origine di tutto. In effetti, dalla verifica delle transazioni, si verificano essere tutte firmate e valide. Questo significa che gli utenti interessati hanno firmato un contratto smart in maniera parziale, con grandi parti “in bianco”, però apponendovi una firma valida. Tramite una campagna di phishing mirata, gli aggressori hanno a questo punto “convinto” le vittime a portare a termine una chiamata che ne garantiva il trasferimento a titolo gratuito, sottraendo così a costo zero, l’effettiva proprietà dell’NFT.
Il funzionamento è un po’ come quello dell’assegno bancario in bianco, spiega TheVerge, “una volta firmato, gli aggressori hanno compilato il resto dell’assegno per prendere le loro proprietà”.
Un report della società di sicurezza CheckPoint, in merito a questo incidente, ha individuato con precisione l’attacco di phishing, che è avvenuto interamente tramite mail emulative di OpenSea, inviate però da mittenti sconosciuti e non facenti parte della società, che con un click interno inducevano la vittima a introdurre la propria firma per la transazione, probabilmente sfruttando il tecnicismo della migrazione, realmente in corso dalla società.
Il clima di tensione iniziale su questa vicenda, infatti, è giustificato anche perché è avvenuta in un momento abbastanza delicato per la società, che da venerdì è impegnata, fino al prossimo 25 febbraio, con la migrazione di OpenSea al suo nuovo sistema di smart contract Wyvern. Anche su questo, gli amministratori Finzer e Hollander hanno escluso ogni coinvolgimento dell’attività di migrazione con il furto massivo di NFT.
Va detto, comunque, che sebbene la società escluda ogni responsabilità nell’attacco, considerandolo qualcosa di mirato ed esterno ai suoi sistemi, sta “aiutando attivamente gli utenti colpiti e discutendo i modi per fornire loro ulteriore assistenza”, ha aggiunto Hollander.
Come fare per non perdere le proprietà di NFT: i consigli
Firmare NFT, preventivamente, senza eseguire particolari controlli sulle transazioni in atto è rischioso:
- bisogna sempre prestare una certa attenzione prima di apporre una firma per una transazione, ancor di più se arriva via mail: controllare sempre accuratamente il mittente deve essere la regola;
- inoltre, segnaliamo, come giustamente ricorda Bleeping Computer, che Ethereum mette a disposizione uno strumento per controllare le approvazioni dei token e, nel caso, revocarle se necessario.
