Ayer, 20 de febrero, surgió otro ataque a los usuarios del mercado un área o escenario, en línea o fuera de línea, en el que se realizan tratos comerciales. NFT OpenSea. Como informó por CryptoSlate El director general del mercado NFT, Devin Finzer, tuiteó que es probable que se trate de un ataque de phishing cuando un estafador se hace pasar por una institución o persona de confianza para engañar a la gente y hacer que revele información sensible como números de la Seguridad Social, contraseñas, datos bancarios, etc., a menudo a través de un enlace de malware disfrazado de legítimo. y no esté relacionado con la plataforma un lugar para comprar, vender y almacenar criptodivisas directamente. Sin embargo, señaló que las investigaciones seguían en curso.
Los registros de la cadena de bloques muestran que los hackers pudieron acceder a las carteras de los usuarios y robar varios NFT. Hasta ahora, los NFT robados incluyen Bored Apes, Mutant Apes y varias otras colecciones populares. El atacante robó cerca de 2 millones de dólares en NFT.
The gist of the modus operandi of the attacker is that the attacker launched a smart contract on the Ethereum una blockchain descentralizada de código abierto con funcionalidad de contratos inteligentes. blockchain un sistema de libro mayor distribuido. Una secuencia de bloques, o unidades de información digital, almacenados consecutivamente en una base de datos pública. La base de las criptomonedas. over a month prior to the actual thefts. It’s evident that the attacker was planning the operation well in advance. The attacker then sent several users emails urging them to move their NFTs token no intercambiable, un tipo de token criptográfico, cada instancia del cual es única (específica) y no puede ser intercambiada o reemplazada por otro token similar, aunque los tokens suelen ser intercambiables por naturaleza. from an old OpenSea contrato en las finanzas tradicionales, un contrato es un acuerdo vinculante entre dos partes. En las criptomonedas, los contratos inteligentes ejecutan funciones en la cadena de bloques. inteligente a uno nuevo; el nuevo contrato se desarrolló para solucionar los fallos descubiertos tras un ataque anterior.
El atacante imitó un correo electrónico genuino de OpenSea
OpenSea envió un correo electrónico genuino a los usuarios pidiéndoles que hicieran la transición de sus NFT al nuevo contrato. El atacante imitó el correo electrónico de OpenSea, pero con enlaces que apuntaban al contrato inteligente del atacante.
Este falso contrato, a su vez, iniciaba la firma de órdenes de venta abiertas de los NFT de los usuarios, que el atacante recogía sin hacer ningún intento apresurado de robar los NFT. Estos NFT estaban a la venta, y el atacante utilizó un mensaje de firma muy oscuro, difícil de interpretar correctamente por los usuarios. La firma esencialmente vendía los NFT por cero éter la forma de pago utilizada en el funcionamiento de la plataforma de aplicaciones de distribución, Ethereum. ( ETH ) al atacante.
En un seguimiento tweet El director de tecnología de OpenSea, Nadav Hollander, compartió un resumen técnico de los ataques de phishing dirigidos a los usuarios de OpenSea.
«Todos los pedidos maliciosos contienen firmas válidas de los usuarios afectados, lo que indica que sí firmaron un pedido en algún lugar, en algún momento. Sin embargo, ninguno de estos pedidos fue transmitido a OpenSea en el momento de la firma», tuiteó Hollander.
Según Hollander, ninguna de las órdenes maliciosas se ejecutó contra el nuevo contrato Wyvern 2.3, lo que indica que se firmaron antes de la migración y es poco probable que estén relacionadas con el flujo de migración de OpenSea. Un contrato Wyvern es un protocolo el conjunto de reglas que definen las interacciones en una red, que suelen implicar el consenso, la validación de las transacciones y la participación en la red en una cadena de bloques. de intercambio de activos digitales descentralizado la descentralización se refiere a la propiedad de un sistema en el que los nodos o actores trabajan de forma concertada y distribuida para lograr un objetivo común. que se ejecuta en Ethereum y utilizado por OpenSea para facilitar el comercio de NFT en su plataforma.
«A 32 usuarios les han robado sus NFT en un periodo de tiempo relativamente corto. Esto es extremadamente desafortunado, pero sugiere que se trata de un ataque dirigido y no de un problema sistémico. Esta información, junto con nuestras conversaciones con los usuarios afectados y la investigación de los expertos en seguridad, sugiere una operación de phishing que se ejecutó antes de la eliminación del contrato 2.2 [antiguo y con errores], dada la inminente invalidación de estas órdenes maliciosas recogidas», tuiteó Hollander.
New contract supports EIP-712 typed data payloads
La nueva versión 2.3 de los contratos Wyvern implementa la Propuesta de Mejora de Ethereum (EIP) 712, que, entre otras cosas, admite las llamadas cargas útiles de datos tipificados, lo que hace mucho más difícil que los malos actores engañen a alguien para que firme una orden sin darse cuenta.
The phishing email sent by the attacker told users to sign a message to login on OpenSea and migrate sell orders to the new Opensea Wyvern 2.3 contrato. En su lugar, los usuarios firmaron una venta privada por cero ETH de los NFT al atacante. A continuación, el atacante ejecutó la función del contrato inteligente para robar los NFT antes de que expiraran sus listados. El atacante pudo hacerlo porque había guardado la firma del usuario.
Además, como se explica en un tweet por el desarrollador de contratos inteligentes «foobar», el atacante pudo robar los NFT por lotes, sin necesidad de realizar las ventas una a una.
«Una sola firma malintencionada puede rugir todo [énfasis de foobar] de sus NFT aprobadas de OpenSea. No es necesario firmar una orden de venta individual para cada una, como se suponía originalmente», tuiteó foobar. Normalmente, la función atomicMatch_() del contrato inteligente se invoca dos veces para comprar dos NFT, pero el atacante llamó a atomicMatch_() una vez para comprar 21 NFT.
Según foobar, existe un «delegatecall», que significa «tomar el código en la dirección un lugar desde el que se puede enviar criptomoneda, en forma de una cadena de letras y números. de destino, y ejecutarlo dentro del contexto actual».
«Este es un patrón peligroso, porque significa que estás sujeto a la inyección de código. Y eso es exactamente lo que ocurrió. El contrato con permisos de aprobación para mover los NFTs solicitó código al contrato helper malicioso, y ese código dijo «transfiéreme todos los NFTs»», tuiteó foobar.
Una firma maliciosa puede tomar todos los NFT token no intercambiable, un tipo de token criptográfico, cada instancia del cual es única (específica) y no puede ser intercambiada o reemplazada por otro token similar, aunque los tokens suelen ser intercambiables por naturaleza. de un usuario
Este es un nuevo vector de ataque, según foobar. La suposición de que una firma equivale a un NFT no es válida. Una firma maliciosa puede tomar todos los NFT de un usuario en una sola transacción.
El CTO de OpenSea, Nadav Hollander, tuiteó que los usuarios deben aprender a tener cuidado con los mensajes maliciosos de firma fuera de la cadena, del mismo modo que la comunidad ha aprendido a no compartir frases semilla ni a enviar transacciones desconocidas. Hollander también pide que se estandarice el EIP-712 y el EIP-4361.
«Nosotros, como comunidad, debemos pasar a estandarizar las firmas fuera de la cadena utilizando datos tipificados EIP-712 u otros estándares acordados como EIP-4361 (el método «Sign in with Ethereum»)».
«En este punto, te darás cuenta una cuenta es esencialmente un cuyo propósito es el seguimiento de las actividades financieras de un activo específico / de que todas las nuevas órdenes firmadas en OpenSea (incluidas las órdenes migradas) utilizan el nuevo formato EIP-712 – un cambio de cualquier tipo es comprensiblemente aterrador, pero este cambio realmente hace que la firma sea mucho más segura ya que puedes ver mejor lo que estás firmando», tuiteó Hollander.
En cuanto a la investigación del incidente, el equipo de OpenSea sigue en plena investigación, en colaboración con los usuarios afectados.
«Estamos trabajando activamente con los usuarios cuyos artículos fueron robados para reducir un conjunto de sitios web comunes con los que interactuaron que podrían haber sido responsables de las firmas maliciosas. Agradecemos enormemente a los usuarios que se pusieron al teléfono con nosotros directamente», Devin Finzer, director general de OpenSea. tweets.
