la truffa

Come hanno rubato gli NFT su OpenSea: l’astuzia della mail phishing

OpenSea rivela che l’equivalente di 2 milioni di euro in ETH è stato rubato a 32 utenti tramite una campagna phishing mirata che sfrutta una migrazione programmata. Ecco come sono riusciti

22 Feb 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Tra sabato e domenica è stato riscontrato un attacco di mail phishing mirato, rivolto a utenti della piattaforma OpenSea, e così sono riusciti a rubare la proprietà per centinaia di smart contract NFT ai legittimi proprietari.

Per un controvalore che si aggira intorno a 1,7 milioni di dollari in ETH, 32 utenti di OpenSea, la più popolare piattaforma di interscambio NFT (Non-Fungible Token), sono stati presi di mira e privati delle loro proprietà, con un ritmo massivo. Infatti, sono state registrate e tracciate in un foglio di calcolo dal servizio di sicurezza blockchain PeckShield, 254 transazioni fraudolente nel corso dell’attacco. Il tutto nello stretto raggio di poche ore, dettaglio che fa pensare ad un’operazione di phishing.

Com’è avvenuto l’attacco phishing a NFT OpenSea

In un primo momento si è paventata la possibilità di un preoccupante hack contro la piattaforma OpenSea, ma dopo le prime ricostruzioni l’azienda, tramite il proprio CEO, ha comunicato in merito all’incidente, escludendo ogni riferimento della vicenda con sfruttamenti di vulnerabilità o vettori di attacco interni ai sistemi OpenSea.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

Sembra invece responsabilità dei singoli utenti l’origine di tutto. In effetti, dalla verifica delle transazioni, si verificano essere tutte firmate e valide. Questo significa che gli utenti interessati hanno firmato un contratto smart in maniera parziale, con grandi parti “in bianco”, però apponendovi una firma valida. Tramite una campagna di phishing mirata, gli aggressori hanno a questo punto “convinto” le vittime a portare a termine una chiamata che ne garantiva il trasferimento a titolo gratuito, sottraendo così a costo zero, l’effettiva proprietà dell’NFT.

Il funzionamento è un po’ come quello dell’assegno bancario in bianco, spiega TheVerge, “una volta firmato, gli aggressori hanno compilato il resto dell’assegno per prendere le loro proprietà”.

Un report della società di sicurezza CheckPoint, in merito a questo incidente, ha individuato con precisione l’attacco di phishing, che è avvenuto interamente tramite mail emulative di OpenSea, inviate però da mittenti sconosciuti e non facenti parte della società, che con un click interno inducevano la vittima a introdurre la propria firma per la transazione, probabilmente sfruttando il tecnicismo della migrazione, realmente in corso dalla società.

Il clima di tensione iniziale su questa vicenda, infatti, è giustificato anche perché è avvenuta in un momento abbastanza delicato per la società, che da venerdì è impegnata, fino al prossimo 25 febbraio, con la migrazione di OpenSea al suo nuovo sistema di smart contract Wyvern. Anche su questo, gli amministratori Finzer e Hollander hanno escluso ogni coinvolgimento dell’attività di migrazione con il furto massivo di NFT.

Va detto, comunque, che sebbene la società escluda ogni responsabilità nell’attacco, considerandolo qualcosa di mirato ed esterno ai suoi sistemi, sta “aiutando attivamente gli utenti colpiti e discutendo i modi per fornire loro ulteriore assistenza”, ha aggiunto Hollander.

Come fare per non perdere le proprietà di NFT: i consigli

Firmare NFT, preventivamente, senza eseguire particolari controlli sulle transazioni in atto è rischioso:

  • bisogna sempre prestare una certa attenzione prima di apporre una firma per una transazione, ancor di più se arriva via mail: controllare sempre accuratamente il mittente deve essere la regola;
  • inoltre, segnaliamo, come giustamente ricorda Bleeping Computer, che Ethereum mette a disposizione uno strumento per controllare le approvazioni dei token e, nel caso, revocarle se necessario.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5