De grootste online NFT-marktplaats OpenSea is afgelopen zaterdag gehackt. De site is getroffen door een phishingaanval. Hackers hebben Non-Fungible Tokens (NFT’s) gestolen en omgewisseld, aldus krant The Verge. Cybercriminelen zouden op deze manier meer dan 1 miljoen euro hebben gestolen.
Phishingaanval
Afgelopen zaterdag hebben hackers ingebroken bij OpenSea. Het zou gaan om een phishingaanval. Diverse gebruikers van OpenSea ontvingen een e-mail die afkomstig leek te zijn van de NFT-marktplaats met het verzoek om hun NFT’s te verplaatsen naar een nieuw smart contract. In plaats van naar de website van OpenSea werden de gebruikers doorgesluist naar een nepsite.
Bij de phishingaanval werden inloggegevens van mensen met NFT’s gestolen. De slachtoffers zouden ook een contract hebben ondertekend met een autorisatie. Dit gaf hackers de kans om NFT’s te stelen en deze in te wisselen. Hackers hebben dit contract later aangepast zodat het eigenaarschap van de NFT’s veranderde, zonder dat hier een betaling voor nodig was.
NFT’s zijn cryptografische, unieke tokens. Elke NFT is gekoppeld aan een uniek digitaal item of artikel dat niet vervangbaar (non-fungible) is. Dit geeft eigendom aan. Wanneer iemand een NFT koopt wordt deze opgeslagen in een blockhain via een ‘smart contract’. De blockchain is over het algemeen een veilige optie om belangrijke documenten op te slaan. Het blijkt echter niet waterdicht.
OpenSea-CEO Devin Finzer heeft de phishingaanval op het platform bevestigd. Hij laat weten dat tot nu toe 17 gebruikers hun NFT’s zijn kwijtgeraakt. Oorspronkelijk werd dit aantal geschat op 32, maar deze telling omvatte iedereen die ‘interacteerde’ met de aanvaller in plaats van personen die het slachtoffer waren van de phishingaanval.
De phishingaanval kwam aan het licht toen OpenSea merkte dat van een paar gebruikers de NFT’s gratis van eigenaar waren gewisseld. OpenSea was bezig met een update van het contractensysteem toen de aanval plaatsvond. Volgens OpenSea had de aanval niets te maken met een kwetsbaarheid in de nieuwe contracten. Het aantal slachtoffers was anders veel groter geweest.
Misbruik NFT’s voorkomen
OpenSea waarschuwt gebruikers voor phishingmails, waarin wordt geprobeerd om gebruikers in de val te lokken. Het NFT-platform eist dat gebruikers een nieuw smart contract opslaan. Dit is een soort eigenaarslicentie die binnen de blockhain bestaat en kan helpen om misbruik van NFT’s te voorkomen.
OpenSea laat via Twitter weten dat de aanvaller de afgelopen uren niet meer actief lijkt. Het team van de NFT-marktplaats doet verder onderzoek naar de speficieke details van de aanval en blijft updates geven over de situatie.
