As Implicações do Esquema de Phishing Opensea

Opensea é uma ferramenta essencial para um artista digital e um entusiasta do NFT.

Opensea foi fundada em 2017 por Devin Finzer e Alex Atallah.

Opensea fornece uma plataforma descentralizada para criadores, compradores, investidores e entusiastas do NFT verem e comprarem artes digitais cunhadas.

Recentemente, o Opensea marketplace foi atacado.

O ataque testemunhou a perda de mais de 250 NFTs que foram estimados em mais de 1,7 milhões de dólares.

O ataque foi um ataque de phishing que utilizou o uso de emails maliciosos enganando utilizadores insuspeitos para assinarem um contrato duvidoso.

O Opensea é um dos maiores mercados para fichas não fungíveis (NFT).

Como criador de arte digital, pode listar as suas colecções no Opensea e encontrar compradores interessados que irão colocar as suas ofertas para o seu artigo cunhado.

Recentemente, o mercado Opensea testemunhou um ataque que levou à perda de mais de 250 NFT estimados em cerca de 1,7 milhões de dólares.

A investigação mostrou que o ataque foi levado a cabo usando o método de ataque de phishing.

Antes de examinarmos como o ataque ocorreu e o impacto, vejamos o Opensea como um mercado digital e o mistério por detrás do ataque de phishing.

Opensea As A Digital Art Marketplace

---

Opensea foi fundada em Dezembro de 2017 para permitir que compradores e vendedores de NFTs se encontrassem e fizessem transacções.

O Duo de Devin Finzer e Alex Atallah fundaram o primeiro e maior mercado de NFTs do mundo com a sua sede em Nova Iorque.

O Opensea é um mercado descentralizado aberto a todos os artistas e entusiastas digitais.
Actualmente, este mercado digital detém cerca de 80 milhões de NFTs em dois milhões de colecções com 70,78 milhões de dólares no valor de Ethereum.

O requisito de entrada para criar uma conta criadora Opensea é baixo, e é fácil criar o seu NFT e configurar a sua conta Opensea.

Por cada venda NFT, o Opensea leva uma pequena taxa de 2,5% como taxa de manutenção da plataforma. O símbolo predominante para comprar e vender NFTs no Opensea é o Ethereum (ETH).

Opensea, como um mercado digital, tem continuado a desfrutar do patrocínio de artistas em vários locais.

Em Agosto de 2021, o Opensea registou mais de 3,5 mil milhões de dólares de volume de transacções de NFTs. Um aumento exponencial de apenas 21 milhões de dólares em volume em 2020.

Tendo salientado a importância do Opensea para um artista digital, vamos directamente ao ataque de phishing e como ele ocorreu.

O que é um ataque de phishing?

---

Phishing é uma forma popular de roubo digital em que um utilizador insuspeito é enganado a clicar num link malicioso ou a verificar um website.

Depois de clicar no link ou website, o malware ataca automaticamente o seu dispositivo e torna-o vulnerável.

Phishing também pode ser um ataque de engenharia social através do qual os seus dados e informações sensíveis, tais como credenciais de login e números de cartão de crédito, ficam disponíveis para o hacker.

Existem várias formas de ataques de phishing. Um atacante pode disfarçar-se como uma entidade de confiança ou criar uma identidade muito semelhante à de confiança.

Será difícil detectar que a entidade é falsa, e você irá inconscientemente clicar num link, abrir um e-mail ou mensagem de texto que contenha malware.

O ataque de phishing que levou à perda de mais de 250 NFTs no Opensea foi realizado durante o fim-de-semana. Os detentores do NFT foram insuspeitos e caíram no truque.

Eles receberam correio que os instruiu a migrar as suas artes digitais para outra carteira. Todos os artistas digitais que abriram o correio foram atacados.

Ao abrir o correio, os hackers tinham acesso às suas assinaturas válidas e podiam ligar as carteiras criptográficas desses utilizadores a um site fraudulento.

Outra investigação revelou que o hacker enganou os utilizadores dos NFTs roubados para que assinassem uma assinatura fraudulenta. Eles concordaram em vender as suas artes digitais a 0ETH à carteira do agressor, assinando o contrato.

Alguns especialistas opinaram que o ataque bem sucedido ocorreu porque o Opensea usa o e-mail para comunicar com os seus utilizadores. Assim, era difícil para os utilizadores saberem que o correio que recebiam era de uma fonte ilegítima.

Opensea lançou o seu servidor de serviço ao cliente alimentado pela plataforma de comunicações Web3 Metalink para prevenir um futuro ataque de phishing.

Este recém-lançado canal de comunicação permitir-lhe-á conversar directamente com o apoio ao cliente e evitar que os autores de fraudes finjam ao pessoal.

O servidor de comunicação do serviço ao cliente irá permitir-lhe obter suporte, dar sugestões, receber respostas atempadas e actualizações directamente da gestão do Opensea.

Tendo identificado como o ataque de phishing poderia ser levado a cabo, vamos proceder às implicações e ao efeito de tais ataques sobre os investidores e entusiastas dos bens digitais.

Implicações do ataque de Phishing Opensea

---

O ataque à carteira Opensea de alguns utilizadores que levou ao roubo de mais de 250 NFTs é bastante chocante.

Em primeiro lugar, muitos utilizadores pensavam que o mercado digital era seguro e livre de ataques externos.

Vários investidores sentiram que podiam manter uma quantidade substancial dos seus bens num paraíso, comprando NFTs e mantendo-os nas suas carteiras de bloqueamento.

No entanto, este ataque deixou os investidores em dúvida. Muitos deles estão agora à procura de uma alternativa mais segura que não comprometa a confidencialidade das suas explorações.

Outra implicação do ataque é que embora o envio de mensagens de correio electrónico ainda seja um meio de comunicação eficaz, é vulnerável ao ataque.

A maioria das organizações usa o e-mail para comunicações oficiais. Quando as pessoas recebem e-mails com endereços oficiais, prestam pouca atenção ao conteúdo e vão em frente para fazer o que o e-mail as autoriza a fazer; com esse ataque, os comerciantes de e-mail sofrerão um considerável contratempo.

Aqueles indivíduos que foram vítimas do ataque de phishing não confiarão nas comunicações por e-mail, mesmo que sejam de remetentes genuínos. É provável que alguns deixem de usar o seu endereço de e-mail e procurem meios de comunicação alternativos.

Conclusão

---

Como os criadores de aplicações utilizam todos os meios para garantir que as suas aplicações estão livres de todas as formas de ataque, os hackers também estão a explorar todos os meios para atacar as aplicações.

Portanto, é essencial continuar a reforçar a arquitectura de segurança destas aplicações e disponibilizar actualizações frequentemente. Especialmente para aplicações tais como o Opensea e os gostos que possuem bens e valor substancial.

Embora o ataque de phishing tenha ocorrido e os NFTs roubados tenham sido rastreados até uma carteira privada, existe a necessidade de assegurar que a confiança do utilizador seja recuperada e que tais ataques não ocorram mais tarde.



Autor: Valentine A., Gate.io Researcher
Este artigo representa apenas a opinião do pesquisador e não constitui nenhuma sugestão de investimento.
A Gate.io reserva-se todos os direitos sobre este artigo. A reedição do artigo será permitida desde que o Gate.io seja referenciado. Em todos os casos, serão tomadas medidas legais devido à violação dos direitos de autor.