Millionen von Dollar in NFTs wurden von OpenSea-Benutzern gephisht
In einem Vorfall, der nach dem wilden Anstieg der Popularität von nicht fungiblen Token niemanden überraschen sollte, gelang es einem böswilligen Akteur, NFTs im Wert von rund 2 Millionen US-Dollar von Benutzern des OpenSea NFT-Marktplatzes in einem gut getimten Phishing-Angriff zu stehlen.
OpenSea bezeichnet sich selbst als den größten NFT-Marktplatz der Welt. Die Plattform bietet einen Peer-to-Peer-Marktplatz für den Austausch von nicht fungiblen Token oder NFTs. Die Plattform begann mit dem Aktualisierungsprozess, um mit den inaktiven Auflistungen von Token fertig zu werden. Dieses Update erforderte eine Benutzeraktion und eine Vertragsmigration, daher verschickte OpenSea detaillierte Anweisungen an die Benutzer und erklärte, was seitens des Benutzers zu tun ist.
Phishing zur richtigen Zeit
Der Angreifer hinter dem Phishing-Angriff handelte jedoch schnell und verschickte Phishing-E-Mails an OpenSea-Benutzer. Der Köder wurde so zugeschnitten, dass er fast genauso aussah wie die ursprüngliche Nachricht, die von der OpenSea-Plattform gesendet wurde, mit Ausnahme der bösartigen Links in den Phishing-E-Mails.
Der schlechte Link leitet die Opfer auf eine speziell manipulierte Phishing-Seite um, die fast genauso aussieht wie die von OpenSea verwendete Seite, aber die bösartige Seite fordert die Benutzer auch auf, „Smart Contract Data“ und „Blind Signing“ zu aktivieren – Text, der auf dem offiziellen OpenSea-Seite fehlt.
Angreifer kam vorbereitet
Der Angreifer hinter der Phishing-Kampagne hatte etwa einen Monat vor dem Angriff einen Vertrag abgeschlossen. Sobald die Opfer die böswillige Transaktion auf der Phishing-Seite unterzeichnet haben, senden sie eine atomicMatch_-Anforderung an den Vertrag des Angreifers. Der atomicMatch_-Request wird von OpenSea verwendet, um Transaktionen nur dann zu autorisieren, wenn alle Parameter des Austauschs erfüllt sind.
Laut dem Cybersicherheitsteam von Check Point, das einen Beitrag über den Angriff veröffentlichte, gelang es dem Bedrohungsakteur, die bei dem Angriff gestohlenen NFTs schnell weiterzuverkaufen und dabei rund 2 Millionen US-Dollar zu verdienen.
Dieser Angriff zeigt nur, dass je mehr finanzorientierte digitale Möglichkeiten zur Verfügung gestellt werden, desto mehr Angriffsfläche und Angriffsvektoren werden auch den Angreifern präsentiert. Man könnte fast meinen, dass jeder, der mit NFTs zu tun hat, technisch versiert genug wäre, um den schlechten Link und die Phishing-E-Mail zu erkennen, aber wenn man bedenkt, wie NFTs im Wert von 2 Millionen Dollar gestohlen wurden, scheint dies nicht der Fall zu sein.