A principal plataforma de negociação de tokens não fungíveis (NFTs), a OpenSea, passou por mais um problema neste final de semana onde centenas de NFTs de usuários foram furtados.
Problemas de novo
No sábado (19.02) a OpenSea sofreu uma ataque phishing onde centenas de NFTs foram furtados dos usuários.
De acordo com a empresa de análise onchain PeckShield, 254 tokens foram furtados incluindo tokens dos protocolos Decentraland e Bored Ape Yacht Club.
Um total de 32 usuários foram lesados no valor aproximado de US$ 1,7 milhão de dólares.
A plataforma OpenSea estava em processo de atualização de seu sistema de contratos quando sofreu o ataque.
A empresa alegou que o ataque não teve relação com a atualização e a origem dos novos contratos.
Em janeiro um bug na revalidação de contratos inteligentes na plataforma permitiu que NFTs da coleção Bored Ape fossem comprados a preços de listagem, bem inferiores aos pedidos à época.
Na ocasião a empresa reconheceu o erro e ressarciu seus clientes.
Em outubro do ano passado a OpenSea corrigiu uma vulnerabilidade que permitia que hackers aplicassem golpes enviando NFTs maliciosos de graça para usuários.
O ataque
Aparentemente o ataque de agora está relacionado a uma flexibilidade no protocolo Wyvern.
A vulnerabilidade permitiu que o atacante explorasse uma flexibilidade nos contratos, e assim os usuários foram induzidos a assinarem um contrato parcial em suas contas.
No contrato havia autorizações gerais para o uso de NFTs e partes omissas ou deixadas em branco como esquema do golpe.
Os usuários assinaram o documento e o atacante preencheu o restante do contrato posteriormente, transferindo a posse dos NFTs sem pagamentos.
Não se sabe ainda como o atacante conseguiu gerar estes contratos “em branco”.
Em mensagem no Twitter o CEO da OpenSea, Devin Finzer, disse que os ataques não se originaram do site da OpenSea , de seus vários sistemas de listagem ou de qualquer e-mail da empresa.
“Vamos mantê-lo atualizado à medida que aprendermos mais sobre a natureza exata do ataque de phishing”, disse Finzer no Twitter.
Finzer pediu que “se você tiver informações específicas que possam ser úteis, envie uma mensagem direta para @opensea_support”.
A OpenSea é a maior plataforma de negociações que existe, e transaciona a grande maior parte dos NFTs do mercado.
Recentemente a empresa foi avaliada em US$ 13 bilhões de dólares em uma rodada de financiamento.
