Am Wochenende in der Nacht zum Sonntag, dem 20. Februar fand ein Angriff auf die weltweit größte NFT Plattform OpenSea mittels Phishing statt. Einer der umgerechnet 300.000 US-Dollar teuren Bored Ape Yacht Club NFTs wurde neben weiteren hochkarätigen Tokens von den Angreifern erbeutet.
Angriff durch Phishing Mails
Bei einem Phishing Angriff versucht der Betrüger mit gefälschten Webseiten, E-Mails oder anderen Nachrichtenformen mit dem Opfer in Verbindung zu treten. Das Ziel sind dann schlussendlich die Daten des jeweiligen Internetusers. Damit können Gelder des Opfers gestohlen werden, sensible Daten an die Öffentlichkeit gelangen oder wie in diesem Fall NFTs geklaut werden.
Eine bearbeitete, alte Mail von OpenSea wurde also benutzt, um die Empfänger dazu zu bringen, eine neuen Smart-Contract Update zu migrieren. Der in der Mail angebotene Link führte dann aber zu einer zu unterschreibenden Genehmigung, mit der letztlich der Transfer der gestohlenen NFTs stattfinden konnte. Das System von OpenSea konnte dementsprechend keine invalide oder gar bösartige Absicht erkennen und akzeptierte die Transaktion.
OpenSea steht Rede und Antwort – eine Warnung an die Nutzer
Nicht lange ließ die Antwort der echten Betreiber auf sich warten. Kurz nach dem Angriff wandte sich OpenSea mittels Twitter an seine Nutzer: „Wir untersuchen derzeit Gerüchte über eine Sicherheitslücke in Zusammenhang mit OpenSea verbundenen Smart Contracts.“. Weiter heißt es, dass man von einer Phishing Attacke ausgeht und keine fremden Links anzuklicken sind.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea’s website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
CTO des Unternehmens, Nadav Hollander, stellte ebenso klar, dass obwohl die Aufträge valide Unterschriften enthielten, keine dieser zum Zeitpunkt der Unterzeichnung an OpenSea gesendet wurden. Diese Indizien deuten darauf hin, dass die eigentlichen Besitzer den Betrügern an den Haken gegangen sind. Einige Antworten bestätigen diese Vermutung. Ein User berichtet etwa vom Verlust eines 1,2 ETH Adidas NFTs.
Lesen Sie hier unsere Tipps, wie Sie aktuell am besten 1000 Euro anlegen.
Bild von Click on 👍🏼👍🏼, consider ☕ Thank you! 🤗 auf Pixabay
Gib den ersten Kommentar ab