OpenSea, un mercato NFT, sta esaminando un “attacco di phishing” che ha lasciato oltre due dozzine dei suoi utenti senza accesso ad alcuni dei loro token digitali più preziosi. Quando centinaia di NFT sono stati rubati nella tarda serata di sabato, la paura ha attanagliato la piattaforma.
Secondo un foglio di calcolo creato dal fornitore di sicurezza Blockchain PeckShield, l’attaccante ha preso di mira 32 account e ha ottenuto 254 token nel corso di diverse ore quel giorno. I token del Bored Ape Yacht Club e delle collezioni Azuki sono tra gli NFT rubati. Molly White, la creatrice del blog Web3 is Going Great, ha stimato il bottino in 641 Ethereum (circa $ 1,7 milioni al momento della pubblicazione).
OpenSea è il mercato più famoso di NFT
“Siamo fiduciosi che si sia trattato di un attacco di phishing”, ha affermato Devin Finzer, co-fondatore e CEO di OpenSea, in un tweet domenica mattina presto. “Non sappiamo dove si sia verificato il phishing, ma sulla base delle nostre chat con i 32 consumatori interessati, siamo stati in grado di escludere una serie di possibilità”.
Secondo Finzer, OpenSea ha stabilito che il suo sito Web non fungeva da vettore per l’assalto, né nessuno ha sfruttato una debolezza precedentemente sconosciuta nelle funzioni di conio, acquisto, vendita e quotazione NFT della piattaforma. “L’interazione con un’e-mail di OpenSea non è una via di attacco”, ha spiegato Finzer. “In effetti, non siamo a conoscenza di utenti interessati che ricevono o fanno clic su collegamenti in e-mail discutibili”.
Secondo The Verge, l’hack molto probabilmente ha utilizzato una funzione nel protocollo Wyvern. Lo standard open source funge da base per molte piattaforme Web3, in particolare OpenSea. Secondo un thread di Twitter, i partecipanti presi di mira nel tentativo di phishing potrebbero aver firmato un accordo parziale che consentiva all’attaccante di trasferire gli NFT senza scambiare alcun Ethereum. Finzer ha risposto al thread dicendo che forniva uno scenario “compatibile con la nostra attuale conoscenza interna” della questione.
Mentre c’è ancora molto sconosciuto sull’attacco, una cosa è certa: non sarebbe potuto accadere in un momento peggiore per OpenSea. Venerdì, la società ha annunciato un nuovo contratto intelligente e ha chiesto agli utenti di trasferire le proprie risorse.