La place de marché OpenSea enquête sur une « attaque de phishing » qui a laissé plus de deux douzaines de ses utilisateurs sans accès à certains de leurs jetons numériques les plus précieux. Samedi soir, la panique a frappé la plate-forme lorsque quelqu’un a volé des centaines de NFT.
Nous sommes convaincus qu’il s’agissait d’une attaque de phishing. Nous ne savons pas où le phishing s’est produit, mais nous avons pu exclure un certain nombre de choses sur la base de nos conversations avec les 32 utilisateurs concernés. Spécifiquement:
– Devin Finzer (dfinzer.eth) (@dfinzer) 20 février 2022
Pendant plusieurs heures cet après-midi-là, l’attaquant a ciblé 32 comptes et obtenu 254 jetons, selon un compilé par le service de sécurité Blockchain PeckShield. Parmi les NFT volés figurent des jetons des collections et . Une estimation par le créateur du , a fixé le butin à 641 Ethereum (environ 1,7 million de dollars au moment de cet article).
« Nous sommes convaincus qu’il s’agissait d’une attaque de phishing », le co-fondateur et PDG d’OpenSea, dans un posté tôt dimanche matin. « Nous ne savons pas où le phishing s’est produit, mais nous avons pu exclure un certain nombre de choses sur la base de nos conversations avec les 32 utilisateurs concernés. »
Selon Finzer, OpenSea a déterminé que son site Web n’était pas un vecteur de l’attaque, et que personne n’a exploité une vulnérabilité jusque-là inconnue dans les fonctionnalités de frappe, d’achat, de vente et de cotation NFT de la plate-forme. « L’interaction avec un e-mail OpenSea n’est pas un vecteur d’attaque », a déclaré Finzer. « En fait, nous ne savons pas si les utilisateurs concernés reçoivent ou cliquent sur des liens dans des e-mails suspects. »
Nous avons contacté OpenSea pour un commentaire.
L’attaquant appelle son propre contrat avec des données d’appel comprenant la commande valide ET l’adresse + les données d’appel de transfert pour tous les NFT que la cible a approuvés sur le contrat wyvern (opensea).
— Neso (@Nesotual) 20 février 2022
Comme l’a noté , l’attaque a probablement profité d’un aspect de . De nombreuses plates-formes Web3, dont OpenSea, utilisent la norme open source pour étayer leurs contrats. Une suggère que les personnes ciblées dans la campagne de phishing ont peut-être signé un accord partiel qui permettait à l’attaquant de transférer les NFT sans qu’aucun Ethereum ne change de mains. Finzer a déclaré qu’il présentait un scénario « conforme à notre compréhension interne actuelle » de la situation.
Bien qu’il y ait encore beaucoup de choses sur l’attaque que nous ne savons pas, ce qui est clair, c’est qu’elle n’aurait pas pu arriver à un pire moment pour OpenSea. Vendredi, la société a présenté un et a demandé aux gens de migrer leurs actifs. Il a également fait l’objet de controverses récentes, d’abord avec un employé qui a démissionné pour profiter des baisses NFT, puis plus récemment sur la prévalence de jetons faux, plagiés ou spam sur sa plate-forme.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.