פחות מחודש עבר מאז באג בפלטפורמת המסחר המובילה ב-NFTs – אופן סי (OpenSea), שנוצל על ידי האקרים כדי לגנוב NFTs בשווי מיליוני דולרים. כעת, שוב נגנבו ניפטיז ממשתמשי הפלטפורמה בשווי של כ-3 מיליון דולר. על פי מנכ"ל OpenSea, דווין פינזר, הם חוקרים כיצד התבצעה הגניבה, ומעריכים שמדובר במתקפת פישינג (Phishing).
"אנחנו לא מאמינים שזה קשור לאתר של OpenSea. נראה ש-32 משתמשים עד כה חתמו על חוזה חכם זדוני מתוקף, וחלק מה-NFTs שלהם נגנבו," כתב פינזר בחשבון הטוויטר שלו. ככל הנראה התוקף מצא דרך לגרום למשתמשים לחתום על חוזה חכם זדוני מבלי שהם יחשדו בכך. למרות שמספר משתמשים דיווחו בטוויטר שהם קיבלו אימיילים מזויפים המתחזים ל-OpenSea, פינזר כתב שלא נראה שכך בוצעה מתקפה זו.
על פי העדכון האחרון של פינזר, לאחר שיחה עם המשתמשים שנפגעו, הם עדיין לא פענחו כיצד התוקף הצליח לגנוב את החתימות הדיגיטליות. לדבריו, לאחר ששללו את האפשרויות שמדובר באימיילים מזויפים, לינקים מאתר הפלטפורמה או דרך הפלטפורמה עצמה, כתב: "אנחנו פועלים באופן אקטיבי עם המשתמשים אשר הפריטים שלהם נגנבו כדי לצמצם את האתרים המשותפים שבהם השתמשו אשר עשויים להיות אחראיים על החתימות הזדוניות. תודה ענקית למשתמשים שקפצו לדבר איתנו ישירות בטלפון."
הארנק מסומן
כתובת הארנק של התוקף סומנה בשם Fake_Phishing5169, וניתן לראות שיש בה למעלה מ-641 מטבעות אית'ר (ETH) בשווי של למעלה מ-1.7 מיליון דולר. בנוסף, רשימה ארוכה של NFTs מופיעים בארנק, כולל ניפטיז מסדרת אזוקי (Azuki), סדרת CloneX, סדרת מועדון היאכטות של הקופים המשועממים (Bored Ape Yacht Club או בקיצור BAYC) ועוד.
ה-NFTs הגנובים סומנו על ידי OpenSea אשר עצרה את אפשרות המסחר בהם דרכה. על פי ההערכות האחרונות, שווי הנכסים שנגנבו עומד על כ-3 מיליון דולר.
תזמון המתקפה
אם אכן זוהי מתקפת פישינג, התוקף בחר תזמון מושלם לביצוע המתקפה. ביום שישי הפלטפורמה פרסמה חוזה חכם חדש כדי לתקן באגים ישנים אשר אפשרו את הגניבה בחודש שעבר, וביקשה מהמשתמשים לחתום עליו עם הארנק הדיגיטלי שלהם. פינזר מזהיר את המשתמשים וקורא לכולם להיות ערניים ולאשר רק את החוזה המקורי, ולהשתמש תמיד רק באתר המקורי בכתובת OpenSea.io.
