Маркетплейс по продаже NFT OpenSea инициировал расследование из-за «слухов об эксплойте», связанном с его смарт-контрактами. В компании заявили, что речь идет о фишинговой атаке — проблем на стороне платформы не обнаружено.
«Мы активно расследуем слухи об эксплойте, связанном со смарт-контрактами OpenSea. Похоже, что это фишинговая атака, исходящая со стороннего ресурса. Не переходите по ссылкам вне opensea.io», — говорится в заявлении.
В пятницу, 18 февраля, состоялся перезапуск смарт-контракта OpenSea. Инициатива призвана удалить с платформы старые предложения о продаже NFT и закрыть уязвимость, которая позволяла приобрести некоторые токены по ценам многомесячной давности, даже если они не отображались в интерфейсе маркетплейса.
19 февраля в сети появились сообщения о кражах с платформы невзаимозаменяемых токенов пользователей. Ходили слухи о взломе на $200 миллионов, однако соучредитель OpenSea Девин Финцер опроверг эту информацию. По его словам, на адресе злоумышленника находится $1,7 миллиона в ETH, которые он получил от продажи части украденных NFT.
По данным Финцера, инцидент затронул по крайней мере 32 пользователя. Аналитики компании PeckShield опубликовали список украденных NFT, документ насчитывает 253 позиции. Среди этих активов токены коллекций Bored Ape Yacht Club, Azuki, CloneX, Mutant Ape Yacht Club и другие.
Позже OpenSea сократил список пострадавших с 32 до 17. Сейчас в него входят пользователи, у которых украли NFT.
Расследование OpenSea еще не окончено, но компания уже сделала некоторые выводы. По словам Финцера, команда проекта «уверена», что токены украдены в результате фишинговой атаки за пределами платформы.
Соучредитель маркетплейса подчеркнул, что компания исключила следующие векторы атаки:
Финцер объяснил, что злоумышленник уже прекратил атаку. Он обещал делиться с пользователями информацией об инциденте по мере продвижения расследования.
В PeckShield также сообщили, что токены украдены в ходе фишинговой атаки. По мнению специалистов, пользователям разослали фейковые сообщения о миграции NFT на новый смарт-контракт. После подписания транзакции, ссылку на которую содержали электронные письма, активы украли.
«К OpenSea остался единственный вопрос: произошла ли утечка информации о пользователях (например, адреса электронной почты), которая позволила провести фишинг?», — добавили в PeckShield.