Novo ataque à OpenSea leva a roubo de milhões de dólares em NFT

Cibercriminos aproveitam o processo de atualização de contrato pela OpenSea para difundir e-mails de phishing entre utilizadores e roubar milhões de dólares em criptoativos NFT. A empresa Check Point explica o ataque e dá conselhos de segurança.

Novo ataque à OpenSea leva a roubo de milhões de dólares em NFT
Novo ataque à OpenSea leva a roubo de milhões de dólares em NFT

O mais recente ataque à OpenSea levou ao roubo de milhões de dólares em NFT (criptoativos colecionáveis exclusivos). A investigação foi levada a cabo por investigadores da empresa de soluções de cibersegurança, Check Point.

A OpenSea publicou, recentemente, um artigo a pedir aos utilizadores para que movessem as suas listagens para o novo contrato inteligente. O objetivo do pedido é fazer face às listagens inativas existentes de NFTs antigos. Assim, foi requerido a todos os utilizadores que “migrassem” as suas listagens no Ethereum.

O processo de migração foi aproveitado por alguns hackers que decidiram enganar os utilizadores de NFT através de e-mails de phishing em que se faziam passar pela plataforma.

O link enviado remeteria os utilizadores para um website de phishing em que lhes seria pedido que assinassem uma transação que parece ser legítima.

O método dos cibercriminosos

  1. A vítima carrega no link malicioso a partir do email de phishing.
  2. O link abre o website de phishing e é pedido à vítima que assine a transferência.
  3. Ao assinar a transferência um pedido atomicMarch_ seria enviado para o contrato inteligente do atacante.
  4. O atacante reenvia depois o pedido para a atomicMath em formato de contrato da OpenSea
  5. O contrato da OpenSea verifica todos os parâmetros do negócio e executa a transferência porque tudo está assinado pela vítima e aprovado.
  6. O contrato da OpenSea comunica com os contratos de NFT e transfere os NFTs da vítima para o atacante de acordo com os parâmetros da atomicMatch

Através das transações da conta do atacante, a Check Point Research descobriu que a wallet contém mais de 2 milhões de dólares em Ethereum, provindos da venda dos NFTs roubados.

Conselhos de segurança

  1. Muitos websites e projetos requerem um acesso permanente aos seus NFTs quando enviam uma transferência por assinar. Esta transferência dará aos websites\projetos acesso aos seus NFT’s sempre que quiserem, a não ser que se desaprove a transferência a partir do seguinte link – https://etherscan.io/tokenapprovalchecker.
  2. Assinar uma transferência é semelhante a dar a alguém a permissão para aceder a todos os seus NFT’s e criptomoedas. Por isto é que assinar é muito perigoso. Tenha atenção redobrada a onde e quando assina uma transferência.

E-mails de phishing são engenhosos. Não clique em links que lhe cheguem via e-mail, independentemente de quem seja o remetente. Tente sempre encontrar a informação partindo diretamente do website.