Investing.com — Ведущая торговая площадка NFT OpenSea подтвердила, что в минувшие выходные хакеры взломали код и украли токены на сумму около $1,7 млн, пишет Business Insider.
Платформа считает, что хакеры применили для фишинговой атаки код смарт-контракта, используемый в NFT.
Количество взломов, связанных с криптовалютами, постоянно растет, и субботняя атака на OpenSea — не исключение: хакеры путем уловки, называемой «фишинг», подделали официальное сообщение, чтобы оно выглядело как настоящее, обманув пользователей платформы-владельцев NFT и заставив их подписать смарт-контракты, чтобы разрешить сделки с токенами. Затем они завершили процесс заключения контракта для перевода NFT (невзаимозаменяемых токенов) на свой собственный адрес.
Согласно заявлению генерального директора OpenSea Девина Финзера, «Насколько мы можем судить, это фишинговая атака. Мы не верим, что она связана с веб-сайтом OpenSea. Похоже, что 32 пользователя на данный момент подписались на вредоносную нагрузку от злоумышленников, и часть их NFT были украдены. — Однако позже в Twitter (NYSE:TWTR) Финзер опроверг предположения о том, что улов NFT стоили $200 млн, и пояснил, что число жертв сократилось до 17 человек. — В кошельке злоумышленников есть $1,7 млн в эфириуме от продажи некоторых украденных NFT».
О том, что подобные преступления становятся все более распространенными, свидетельствует недавний отчет Chainalysis, согласно которому, в 2021 году преступники похитили криптовалюты на сумму $14 млрд.
Возможно, как предупреждают некоторые аналитики, постоянные проблемы с безопасностью могут стать препятствием для массового внедрения криптовалют, учитывая, что бремя обеспечения такой безопасности перекладывается на самого пользователя.
По словам Харта Ламбура, соучредителя протокола UMA, риск атак на основе смарт-контрактов в децентрализованных финансах, особенно в развивающихся криптосетях, таких как Solana, довольно высок.
В случае с OpenSea взломщики использовали протокол Wyvern, который лежит в основе большинства процессов смарт-контрактов NFT и является открытым исходным кодом, то есть стандартным и общедоступным. Пострадавшие пользователи OpenSea подписали частичный контракт для торговли NFT, предоставив злоумышленникам общие полномочия, но оставив их в основном пустыми — вроде подписания незаполненного чека, что позволяло хакерам передавать право собственности на NFT без оплаты.
По данным компании PeckShield, занимающейся анализом криптовалют, было похищено по меньшей мере 254 NFT, хотя в OpenSea не подтвердили эту цифру.
— При подготовке использованы материалы Business Insider