L’hacker ruba oltre 1,7 milioni di dollari di NFT agli utenti di OpenSea
Cosa è appena successo? OpenSea, un servizio recentemente valutato oltre 13 miliardi di dollari, ha visto almeno 32 dei suoi utenti colpiti da quello che apparentemente era un attacco di phishing, con conseguente furto di NFT per milioni di dollari.
The Verge riporta che 254 token acquistati da OpenSea sono stati rubati dai portafogli degli utenti tra le 17:00 e le 20:00 ET di sabato. Alcuni degli NFT più costosi provenivano da Decentraland, Bored Ape Yacht Club e Mutant Ape Yacht Club: ecco un elenco completo di risorse digitali rubate.
Devin Finzer, il co-fondatore e CEO di OpenSea, ha rassicurato gli utenti che il sito è a posto. Ha aggiunto che "per quanto ne sappiamo", le vittime erano cadute per un "attacco di phishing". Si è collegato a una spiegazione su come l’hack è stato abilitato sfruttando il protocollo Wyvern utilizzato per la maggior parte dei contratti intelligenti NFT. Gli obiettivi hanno firmato parte del contratto, mentre gli aggressori hanno completato il resto, trasferendo la proprietà degli NFT. Non è chiaro come esattamente gli hacker abbiano raggiunto questo obiettivo.
Ma ci sono quelli che non sono d’accordo con l’affermazione dell’attacco di phishing. Kotaku osserva che alcune vittime affermano che l’unico collegamento comune tra loro era che tutti avevano migrato manualmente le loro raccolte NFT su un nuovo contratto intelligente sulla piattaforma, che è stato eseguito perché "risolve un problema con elenchi inattivi che consentiva ai truffatori di scorrere NFT di valore dai collezionisti su OpenSea."
Ancora una volta, però, altri contestano questa affermazione. "Ho controllato ogni transazione", ha detto Neso, l’utente che ha spiegato come è stato sfruttato l’ordine Wyvern. "Hanno tutti firme valide dalle persone che hanno perso NFT, quindi chiunque affermi di non essere stato oggetto di phishing ma di aver perso NFT è purtroppo sbagliato". OpenSea ha anche smentito che i nuovi contratti fossero l’origine dell’hacking.
Anche il valore esatto degli NFT rubati è in discussione. Finzer ha affermato che l’attaccante ha $ 1,7 milioni nel suo portafoglio dalla vendita di alcuni dei token rubati, ma un altro rapporto afferma che l’autore ha guadagnato $ 2,9 milioni. Sembra anche che alcuni degli NFT, insieme ad alcuni dei soldi per i quali erano stati venduti, siano stati restituiti ai proprietari.
Non è stato un periodo facile per OpenSea di recente. Ha limitato a 50 il numero di NFT che le persone potevano creare utilizzando il suo strumento di conio gratuito il mese scorso, spiegando che oltre l’80% dei token creati utilizzando questa funzione erano contraffatti, utilizzavano contenuti plagiati o erano spam. Ma il servizio ha annullato la sua decisione e ha revocato il limite a seguito delle proteste degli utenti.