- Durch die Schwachstellen könnten wertvolle NFTs gestohlen sein.
- PeckShield erklärte, dass es sich höchstwahrscheinlich um Phishing handelt.
Der führende NFT-Marktplatz OpenSea untersucht „Gerüchte über einen Exploit“ in Bezug auf Smart Contracts, die mit seiner Plattform verbunden sind. Zuvor ging eine Reihe von Tweets von besorgten NFT-Händlern viral. Die Schwachstelle könnte ihnen viele wertvolle NFTs gekostet haben.
Auf dem Twitter-Account von OpenSea wurde Folgendes gepostet:
Wir untersuchen aktiv Gerüchte über einen Exploit im Zusammenhang mit Smart Contracts von OpenSea. Es scheint ein Phishing-Angriff zu sein, der von außerhalb der OpenSea-Website ausgeht. Man soll nicht auf Links außerhalb von opensea.io klicken.
Phishing auf dem NFT-Marktplatz
NFT-Händler schrieben auf Twitter, dass sie angeblich offizielle E-Mails von OpenSea über Migration von Smart Contracts erhielten.
Die bekannte Sicherheitsfirma PeckShield prüfte die Smart Contracts und erklärte, dass es sich bei dem fraglichen Exploit „höchstwahrscheinlich um Phishing“ handelte. Hinter einem scheinbar normalen Link verbirgt sich ein Smart Contract, mit dem Hacker Zugang zu NFTs bekommen. PeckShield nannte die E-Mails über den Migrationsprozess als mögliche Quelle des Links.
Die Adresse des angeblichen Angreifers enthält Ether im Wert von etwa 1,7 Millionen US-Dollar sowie zwei Cool Cats NFTs, drei Bored Ape Yacht Club NFTs, ein Doodle NFT und eine Azuki NFT. Etherscan hat die Adresse daraufhin mit einem „Phish/Hack“-Warnzeichen versehen.
OpenSea hatte vor, seinen Smart Contract (im Grunde der Code für seine Handelsplattform) zu ändern, indem es am Freitag einen brandneuen Vertrag herausgab. Die Idee war, dass der aktualisierte Vertrag für die Löschung alter und inaktiver Angebote auf OpenSea sorgt.
Letzten Monat schickte das Unternehmen den Nutzern eine kurze E-Mail mit dem Betreff „Clarification on Cancelling Inactive Listings“. In der E-Mail wurden die Nutzer daran erinnert, alte Angebote zu löschen.
Das Problem mit Smart Contracts
Die Stornierung eines alten Eintrags ist immer noch eine On-Chain-Transaktion, das heißt sie wird ganz am Ende der Blockchain hinzugefügt. Cyber-Kriminelle, die nach neuen Transaktionen Ausschau halten, könnten bemerken, dass jemand einen alten Eintrag löscht. Daraufhin beginnen sie, in den anderen alten Einträgen zu wühlen, um ein Angebot unter Marktpreis finden.
Einige Hacker zahlen eine zusätzliche Gebühr, um eine Stornierung vorwegzunehmen und einen Verkauf durchzuführen, bevor der Nutzer die Transaktion abschließen kann. Frontrunning ist ein häufiges Problem auf Ethereum und anderen Proof-of-Work Blockchains.
OpenSea konnte zum Zeitpunkt der Erstellung dieses Artikels das Problem noch nicht beheben. Zuletzt wurde die folgende Mitteilung veröffentlicht:
Our team has been working around the clock to investigate the specific details of this phishing attack. While we haven’t yet determined the exact source, we wanted to share a couple of EOD updates:
🧵
— OpenSea (@opensea) February 21, 2022
Mitwirkende
