Uma das principais plataformas de negociação de NFT do mundo, a plataforma OpenSea, foi atacada por hackers no último sábado (19). De acordo com o Non-Fungible Token Market, aproximadamente US$ 1,7 milhão (R$ 8,6 milhões na cotação atual do dólar) foi roubado.
A notícia vem depois que os investidores notaram alguns NFTs desaparecendo de suas carteiras digitais, incluindo tokens da Decentraland, Mutant Ape Yacht Club e Bored Ape Yacht Club.
Estima-se que 32 usuários foram diretamente afetados, mas a plataforma ainda está investigando a violação de segurança.
Resposta da OpenSea
Após a reação da mídia social, o cofundador da OpenSea, Devin Finzer, disse que a plataforma era segura e que os usuários afetados poderiam ser alvo de um ataque de phishing – um golpe que engana as vítimas a roubar senhas, geralmente por e-mail. o email.
“Até onde sabemos, este é um ataque de phishing. Não achamos que você esteja conectado ao site OpenSea. Até agora, parece que 32 usuários assinaram cargas maliciosas dos invasores e alguns de seus NFTs foram roubados”, disse Finzer. disse no Twitter.
Algumas vítimas desafiaram a teoria do phishing, alegando que não abriram nenhum e-mail.
Por outro lado, Nadav Hollander, diretor técnico da OpenSea, disse que todos os afetados assinaram contratos não relacionados à plataforma.
Como o roubo ocorreu em um período de tempo “relativamente curto”, Holland acredita que foi um ataque focado e não um problema com os servidores OpenSea.
Alguns NFTs foram devolvidos
Suspeita-se que hackers possam ter explorado uma vulnerabilidade no protocolo Wyvern, um padrão de código aberto que existe na maioria dos contratos inteligentes.
A empresa disse que estava ajudando as vítimas e aconselhou os usuários a verificar se eles estavam de fato no site da OpenSea antes de compartilhar dados.
Curiosamente, os hackers devolveram os NFTs a alguns dos proprietários roubados. Uma vítima alegou ter recebido inexplicavelmente 50 ETH (Ethereum), o equivalente a mais de 655 mil reais.
Esquema elaborado
As autoridades e a própria OpenSea ainda estão investigando o que aconteceu. No entanto, a empresa ressaltou que os mecanismos de segurança do próprio site não foram burlados, e que os proprietários de NFT podem ter clicado onde não deveriam.
Aparentemente, o golpe envolveu o uso de protocolos de código aberto usados para criar contratos que indicam quem é o proprietário de qual NFT.
O CEO da OpenSea, Devin Finzer, afirmou em seu perfil no Twitter que as vítimas podem ter recebido comunicações falsas fingindo ser da própria empresa, pedindo aos usuários que assinem para confirmação. No entanto, o documento não era apenas inautêntico, ele também continha campos em branco – permitindo que criminosos adicionassem termos após a assinatura, como fazer transferências de NFTs.
