Novo ataque à OpenSea leva a roubo de milhões de dólares em NFT

Atacantes aproveitaram-se do processo de atualização de contrato levado a cabo pela OpenSea para difundir e-mails de phishing entre os utilizadores

A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), alerta para o mais recente ataque à OpenSea que levou ao roubo de milhões de dólares em NFT. A investigação da CPR seguiu-se ao anúncio da plataforma que deu conta da atualização do contrato inteligente.

Contexto do ataque

Recentemente, a OpenSea publicou um artigo a pedir aos utilizadores para que movessem as suas listagens para o novo contrato inteligente. O objetivo do pedido é fazer face às listagens inativas existentes de NFTs antigos. Assim, foi requerido a todos os utilizadores que “migrassem” as suas listagens no Ethereum, como se pode ver abaixo.

Este processo de atualização foi aproveitado por alguns hackers que decidiram enganar os utilizadores de NFT através de e-mails de phishing em que se faziam passar pela plataforma.

Fig. 2 Atualização fraudulenta recebida pelas vítimas do ataque

O link enviado remeteria os utilizadores para um website de phishing em que lhes seria pedido que assinassem uma transação que parece ser legítima.

Fig. 3 À esquerda, a transação original; à direita, a transação maliciosa

O método de ataque

1. A vítima carrega no link malicioso a partir do email de phishing.
2. O link abre o website de phishing e é pedido à vítima que assine a transferência.
3. Ao assinar a transferência um pedido atomicMarch_ seria enviado para o contrato inteligente do atacante.
4. O atacante reenvia depois o pedido para a atomicMath em formato de contrato da OpenSea
5. O contrato da OpenSea verifica todos os parâmetros do negócio e executa a transferência porque tudo está assinado pela vítima e aprovado.
6. O contrato da OpenSea comunica com os contratos de NFT e transfere os NFTs da vítima para o atacante de acordo com os parâmetros da atomicMatch

Através das transações da conta do atacante, a Check Point Research descobriu que a wallet contém mais de 2 milhões de dólares em Ethereum, provindos da venda dos NFTs roubados.

Dicas de segurança

1. Muitos websites e projetos requerem um acesso permanente aos seus NFTs quando enviam uma transferência por assinar. Esta transferência dará aos websites\projetos acesso aos seus NFT’s sempre que quiserem, a não ser que se desaprove a transferência a partir do seguinte link - https://etherscan.io/tokenapprovalchecker.
2. Assinar uma transferência é semelhante a dar a alguém a permissão para aceder a todos os seus NFT’s e criptomoedas. Por isto é que assinar é muito perigoso. Tenha atenção redobrada a onde e quando assina uma transferência.
3. E-mails de phishing são engenhosos. Não clique em links que lhe cheguem via e-mail, independentemente de quem seja o remetente. Tente sempre encontrar a informação partindo diretamente do website.