שודדים הצליחו לגנוב בשבוע שעבר נכסי אמנות קריפטוגרפיים (NFT) בשווי של כמעט 2 מיליון דולר ממשתמשי האתר המוביל בתעשייה, כך לפי פרסומים בחשבונות הטוויטר של האתר ובכיריו.
אתמול (ראשון) לפנות בוקר לפי שעון ישראל הודיע אתר OpenSea, זירת המסחר המרכזית ל-NFT, כי "אנו חוקרים באופן פעיל שמועות אודות פרצה המקושרת עם חוזים חכמים הקשורים ל-OpenSea. נראה שזו מתקפת פישינג שמקורם מחוץ לאתר OpenSea. אל תלחצו על קישורים מחוץ ל-opensea.io". הדיווח הגיע לאחר שמספר משתמשים התלוננו על כך שנכסיהם נגנבו.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
הבוקר דיווחה החברה כי טרם איתרה את מקור המזימה, אך הסיקה כי מדובר במתקפת פישינג – כלומר, כזו שהתבססה על "הנדסה חברתית", או שכנוע של גולשים להעביר נכסים לתוקף המתחזה לישות אחרת – ולא בפרצה בשירות שלה. תחילה סברה החברה כי 32 משתמשים נפלו קרבן למתקפה, אך לאחר מכן עדכנה כי 32 הוא מספר המשתמשים שעליהם נוסתה המתקפה, בעוד מספר אלה שנפלו בה בפועל עמד על 17 בלבד.
עם זאת, אותם 17 איבדו, לפי הדיווחים, 254 פריטי אמנות ייחודיים בשווי מצטבר שמולי ווייט, מהנדסת תוכנה העוסקת בקריפטו ובוויקיפדיה, מעריכה בסך של 641 את'ר, או 1.7 מיליון דולר.
מנכ"ל OpenSea, דווין פינצר, אישר שהתוקפים מצאו שיטה לבצע העברה של נכסים על גבי הגרסה הישנה של פלטפורמת החוזים החכמים של החברה בלי להעביר תמורה כלשהיא בכיוון ההפוך. כדי לנצל את הידע הזה הם שלחו למשתמשים מיילים שהתחזו לאתר, וניצלו את העובדה שביום שישי האחרון ביצע האתר מעבר מהגרסה הישנה של החוזים לאחת חדשה, שלא כוללת את האפשרות הזו. הם בישרו למשתמשים כי כדי שהנכסים שלהם יעברו מהגרסה הישנה לחדשה הם צריכים לבצע פעולה – וכך גרמו להם להעביר את הנכסים לארנקים של הנוכלים.
