Kibertámadás alá került az OpenSea online NFT piactér

A világ legnagyobb NFT piactere, az OpenSea kibertámadás áldozata lett, melynek során az eddig ismeretlen támadó vagy támadók közel 800,000 dollárt zsákmányoltak. A PeckShield kiberbiztonsági vállalat adatai szerint a támadóhoz köthető tárcára 332 ether érme került (kb 754,000 dollár), míg az Etherscan adatai szerint a támadóknak valamivel több, 347 ETH érmét (kb 799,000 dollár) sikerült megszerezniük. Az érmék összesen 8 tranzakcióval, mintegy 4 óra leforgása alatt kerültek a kérdéses tárcára.

Az OpenSea 2017-es alapítása óta a legismertebb és legnagyobb NFT nem helyettesíthető token piactérré nőtte ki magát, köszönhetően leginkább a tavalyi év során tapasztalt NFT őrületnek. A vállalat 2018-ban egy 2,1 millió dolláros befektetéssel kezdett beindulni, jelenleg az értékét már 13,300 millió dollárra becsülik. Az OpenSea weboldalán lévő alkotások az ERC-721 és a Polygon standard algoritmusokkal kerülnek NFT azonosításra. Értelemszerűen tehát, a weboldalon az adás vételek során szinte kizárólag csak ether érmék cserélnek gazdát.

BREAKING: Everyone head to https://t.co/nRpSAHivfe
and make sure all of your old listings are cancelled. There is currently an exploit on @opensea letting someone buy your NFTs for old listing prices. This is happening right now!!

— Hustler (@0xHustler) January 24, 2022

A támadó az eladókat károsítja meg

A kibertámadás úgynevezett frontend támadásnak tűnik, vagyis a hackernek az Opensea weboldal kezelőfelületeit kijátszva sikerült valahogy jogosulatlan hozzáférést szereznie bizonyos tartalmakhoz. A frontend támadás általában egyszerűbb mint a backend támadás (amikor például a szerverhálózatot éri támadás) és jellemzően ritkább is. Ma már azért elég ritka, hogy egy szoftver kezelőfelületét fel lehessen törni. A frontend támadások rendkívül primitívek is lehetnek, például egy a jelszavak próbálgatásos feltörésével szerzett hozzáférés is ennek minősülhet.

Az internet népe jelenleg még csak találgat, hogy mi lehetett a támadás során használt módszer ám egyes tippek a felhasználók hanyagságával is számolnak.  Egyesek úgy vélik a támadó valamilyen módon nem megfelelően lezárt munkamenetekhez tudott hozzáférni (pl. böngészőből való kilépés ajánlattétel, vagy egy a felhasználó által birtokolt NFT árának szerkesztése közben). Mások arról beszélnek, hogy a támadó valamilyen weboldali sebezhetőséget kihasználva a meghirdetett árnál jóval alacsonyabb összegekért is sikeresen tudott NFT tartalmakat vásárolni, amiken rögtön túl is adott.

Sajnos a támadás nem egyedi. Ahogy egyre jobban nőtt az NFT-k népszerűsége, úgy nőtt a NFT piacterekkel kapcsolatban elkövetett visszaélések száma is.