O que acabou de acontecer? O OpenSea, um serviço recentemente avaliado em mais de US$ 13 bilhões, viu pelo menos 32 de seus usuários serem afetados pelo que aparentemente foi um ataque de phishing, resultando em milhões de dólares em NFTs roubados.
A Beira relata que 254 tokens comprados da OpenSea foram roubados das carteiras dos usuários entre 17h e 20h ET de sábado. Alguns dos NFTs mais caros vieram da Decentraland, Bored Ape Yacht Club e Mutant Ape Yacht Club – aqui está uma Lista completa de ativos digitais furtados.
Devin Finzer, cofundador e CEO da OpenSea, garantiu aos usuários que o site está bem. Ele acrescentou que “até onde sabemos”, as vítimas caíram em um “ataque de phishing”. Ele vinculou a um explicação sobre como o hack foi ativado explorando o protocolo Wyvern usado para a maioria dos contratos inteligentes NFT. Os alvos assinaram parte do contrato, enquanto os atacantes concluíram o restante, transferindo a propriedade dos NFTs. Exatamente como os hackers conseguiram isso não está claro.
Até onde sabemos, trata-se de um ataque de phishing. Não acreditamos que esteja conectado ao site da OpenSea. Parece que 32 usuários até agora assinaram uma carga maliciosa de um invasor e alguns de seus NFTs foram roubados.
– Devin Finzer (dfinzer.eth) (@dfinzer) 20 de fevereiro de 2022
Mas há quem discorde da alegação de ataque de phishing. Kotaku observa que algumas vítimas dizem que o único elo comum entre elas foi que todas elas migraram manualmente suas coleções de NFT para um novo contrato inteligente na plataforma, o que foi realizado porque “corrige um problema com listagens inativas que permitia que golpistas roubassem NFTs valiosas de colecionadores no OpenSea.”
OLÁ A TODOS. ME CONECTEI COM ALGUMAS OUTRAS PESSOAS QUE FORAM HACKEADAS AGORA.
TODOS NÓS SÓ TEMOS UMA COISA EM COMUM.
TODOS OS NOSSOS NFT ROUBADOS FORAM MIGRADOS MANUALMENTE PARA OPENSEA. @Mar aberto você tem muito o que explicar agora.— Alabaster Jefferson (@AJFromDiscord) 19 de fevereiro de 2022
Novamente, porém, outros contestam essa afirmação. “Verifiquei todas as transações”, disse Neso, o usuário que explicou como o pedido da Wyvern foi explorado. “Todos eles têm assinaturas válidas das pessoas que perderam NFTs, então qualquer pessoa que afirme que não sofreu phishing, mas perdeu NFTs está tristemente errada.” A OpenSea também negou que os novos contratos tenham sido a origem do hack.
Exatamente quanto valiam os NFTs roubados também está sendo contestado. Finzer disse que o atacante tem US$ 1,7 milhão em sua carteira por vender alguns dos tokens roubados, mas outro relatório afirma que o perpetrador fez $ 2,9 milhões. Parece também que alguns dos NFTs, juntamente com parte do dinheiro pelo qual foram vendidos, foram devolvidos aos proprietários.
Não tem sido uma época fácil para o OpenSea recentemente. Limitou o número de NFTs que as pessoas poderiam criar usando sua ferramenta de cunhagem gratuita para 50 no mês passado, explicando que mais de 80% dos tokens criados usando esse recurso eram falsificados, usavam conteúdo plagiado ou eram spam. Mas o serviço reverteu sua decisão e elevou o limite após protestos dos usuários.