کمیته رکن چهارم – مهاجمی از طریق حمله فیشینگ به OpenSea موفق شد ۱٫۷ میلیون دلار NFT به سرقت ببرد.
کلکسیونرهای NFT که از OpenSea استفاده میکردند تحت تأثیر حمله فیشینگ قرار گرفته و در مجموع ۲۵۴ توکن خود را در بازهی زمانی سهساعته از دست دادند. تخمین زده میشود ارزش توکنها بیش از ۱٫۷ میلیون دلار است.
روز شنبه، OpenSea متوجه شد شایعاتی در فضای مجازی مبنی بر اتصال قراردادهای هوشمند به بازار توکن غیرقابل تعویض NFT منتشر شده است. بههمیندلیل، تصمیم گرفت موضوع را بررسی کند. پس از انجام این کار متوجه شد کاربران تحت تأثیر حمله فیشینگی نسبتاً معمولی قرار گرفتهاند.
اپل اینسایدر مینویسد ایمیلهایی که شبیه بهروزرسانی انجمن OpenSea به نظر میرسند برای مشتریان ارسال شده و از آنها دعوت میکنند تا فهرستهای اتریوم خود را به قرارداد هوشمند جدیدی منتقل کنند. قرارداد هوشمند قانونی OpenSea یک روز قبل معرفی شده بود، بنابراین فرد سودجو از این تغییر جدید سوءاستفاده و ایمیل فیشینگ خود را بر پایه آن تنظیم کرد.
به گزارش Decrypt و طبق گفته دوین فینزر، مدیرعامل OpenSea، به نظر میرسد حمله فیشینگ به خود وبسایت متصل نیست و بهطور جداگانه عملیاتی شده است. ظاهراً تنها ۳۲ نفر تحت تأثیر این ایمیل قرار گرفتند. آنها به اشتباه و از سر ناآگاهی قراردادی را امضا کردند که منجر به از دست دادن توکنهای آنها شده است. در نهایت نیز پس از امضای قراردادی که روی آن دو امضا از سوی کاربر نقش بسته، مهاجم فرایند انتقال NFTهای قربانی به حساب خود را آغاز میکند.
از زمان کشف این موضوع، برخی از NFTهای دزدیدهشده به صاحبانشان بازگردانده شده است، اما بعضی از آنها توسط مهاجم فروخته شدهاند. شایعه شده بود که او ۲۰۰ میلیون دلار دزدی کرده اما بر اساس شواهد اینچنین نیست و بررسی کیف پول فرد سودجو نشان داد وی توانسته به ارزش ۱٫۷ میلیون دلار اتریوم جمعآوری کند.
OpenSea هنوز در حال بررسی این حادثه است تا مشخص شود حمله دقیقاً چگونه رخ داده است.
منبع : زومیت