- Durch einen Phishing-Betrug wurden 32 OpenSea-Nutzer um ihre NFTs gebracht, nachdem sie diese einem Smart Contract überschrieben hatten, der sich als bösartig herausstellte.
- Dabei wurde ausgenutzt, dass OpenSea seine Kunden derzeit auffordert, ihre NFTs auf einen neuen Smart Contract zu übertragen.
Am 19. Februar verschwanden Hunderte NFTs im Wert von mindestens 1,7 Millionen Dollar aus den Wallets von OpenSea-Kunden.
Laut Devin Finzer, Gründer und Chef der Plattform, handelte es sich um einen Phishing-Angriff. 32 Kunden fielen am Samstag zwischen 17 und 20 Uhr EST darauf herein.
Derzeit fordert OpenSea seine Kunden auf, ihre NFTs von der Ethereum-Blockchain auf einen neuen Smart-Contract zu migrieren. Es heißt, dass die Kunden E-Mails erhielten, die angeblich vom OpenSea-Team stammten. Scheinbar legitim wurden die Geschädigten aufgefordert, ihre Ethereum-Listings auf einen neuen Smart-Contract zu migrieren; doch wer das tat, übertrug dem Angreifer damit das Eigentum an seinen NFTs.
I know you’re all worried. We’re running an all hands on deck investigation, but I want to take a minute to share the facts as I see them:
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Der Angreifer verkaufte einige der NFTs mit Gewinn. Seltsamerweise gab er einige der NFTs an ihre rechtmäßigen EIgentümer zurück und sandte einem anderen Geschädigten 50 ETH. Der Angreifer besitzt nun ETH im Wert von 1,7 Millionen Dollar aus dem Verkauf einiger der NFTs. Dazu gehören drei Bored Ape Yacht Club (BAYC) NFTs, zwei Cool Cats, ein Doodle und ein Azuki.
Es war Phishing – kein Code-Hack
Zunächst wurde angenommen, dass es sich um einen Diebstahl durch eine Verletzung der Codebasis von OpenSea handelte, die laut dem Twitter-Nutzer „Mr. Whale“ zum Diebstahl von 200 Millionen Dollar führte. Plattform-Chef Finzer sagte jedoch, es habe sich um einen Phishing-Scam gehandelt. Dies wurde jedoch von einem Twitter-Nutzer namens Jacob King zurückgewiesen, der behauptet, dass ein Fehler im Code der Plattform zu einem der größten NFT-Exploits aller Zeiten geführt habe.
Finzer hingegen stellt fest, dass das OpenSea-Team die Website, die die Kunden dazu verleitet habe, Nachrichten böswillig zu signieren, sei noch nicht ermittelt worden. In einem anderen Thread erklärte er, dass das OpenSea-Team aktiv mit Kunden zusammenarbeite, deren Daten gestohlen wurden, um eine Reihe von Websites einzugrenzen, mit denen sie interagiert hatten und die für die bösartigen Signaturen verantwortlich sein könnten. Finzer forderte die Kunden außerdem auf, von der OpenSea-Plattform aus keine externen Links anzuklicken.
Mit dem Wachstum kommen die Herausforderungen
Dass Kriminelle es auf NFT-Marktplätze abgesehen haben, ist angesichts des enormen Wachstums und der Manie, die die Branche im letzten Jahr erlebt hat, keine Überraschung. So hat OpenSea, als bisher größter NFT-Marktplatz bei seiner jüngsten Finanzierungsrunde am 4. Januar 300 Millionen Dollar eingesammelt. Das Unternehmen wird nun mit satten 13,3 Milliarden Dollar bewertet.
Angesichts solcher Größenordnung ist es kein Wunder, dass immer wieder Phishing-Betrug gemeldet wird, wie bei mehreren hochrangigen BAYC-Inhabern. Außerdem haben Hacker vor kurzem einen Fehler in OpenSea ausgenutzt, der es ihnen ermöglichte, NFTs zu stark reduzierten Preisen zu kaufen und zu verkaufen.