Наслідки фішингової атаки на Opensea

Opensea – незамінний інструмент для цифрових художників та NFT-ентузіастів.

Маркетплейс Opensea був заснований у 2017 році Девіном Фінцером та Алексом Аталлахом.

Opensea надає кріейторам, покупцям, інвесторам та ентузіастам NFT децентралізовану платформу, на якій можна оцінити та придбати цифрове мистецтво.

Нещодавно торговий майданчик Opensea зазнав атаки.

Внаслідок атаки було втрачено понад 250 NFT, вартість яких оцінювалася більш ніж у $1,7 млн.

Це була фішингова атака, під час якої розсилалися шкідливі листи, в яких обманним шляхом нічого не підозрюючим користувачам пропонувалося підписати сумнівний контракт.

Opensea - це один з найбільших торгових майданчиків для невзаємозамінних токенів (NFT).

Творці цифрового мистецтва можуть розміщувати свої твори на Opensea, де їх знаходитимуть зацікавлені покупці, які робитимуть ставки на арт, що їм сподобався.

Нещодавно на маркетплейс Opensea було здійснено атаку, яка вилилася у втрату понад 250 NFT на суму близько $1,7 млн.

Розслідування показало, що то була фішингова атака.

Перш ніж вивчити як відбулася атака та її наслідки, давайте дізнаємося більше про маркетплейс цифрового мистецтва Opensea та що таке фішингова атака.

Маркетплейс цифрового мистецтва Opensea

Майданчик Opensea був заснований у грудні 2017 року, щоб поєднати покупців та продавців NFT для взаємовигідної торгівлі.

Девін Фінцер та Алекс Аталлах спільно заснували перший і найбільший у світі торговий майданчик NFT зі штаб-квартирою у Нью-Йорку.

Opensea - це децентралізований ринок, відкритий для всіх цифрових художників та ентузіастів.

У цей час на Opensea міститься близько двох мільйонів колекцій або 80 мільйонів унікальних NFT на суму $70,78 млн в еквіваленті ETH.

Створити та налаштувати обліковий запис кріейтора на Opensea нескладно.

З кожного продажу NFT Opensea бере мізерні 2,5% у якості плати за обслуговування платформи. Для купівлі та продажу NFT на Opensea в основному використовується Ethereum (ETH).

Цифровий ринок Opensea спонсорується та підтримується художниками з різних країн.

У серпні 2021 року майданчик Opensea зафіксував обсяг торгів NFT на суму понад $3,5 млрд, продемонструвавши неймовірне зростання порівняно з $21 млн у 2020 році.

Тепер ми розуміємо наскільки Opensea важливий для цифрових художників, тому давайте перейдемо безпосередньо до фішингової атаки і до того як вона відбулася.

Що таке фішингова атака?

Фішинг - це популярна форма цифрової крадіжки, під час якої шахраї обманним шляхом змушують користувача, що нічого не підозрює, перейти за шкідливим посиланням.

Як тільки ви переходите за таким посиланням, шкідливе програмне забезпечення автоматично атакує ваш пристрій і робить його вразливим.

Фішинг також може використовувати соціальну інженерію, коли хакер здобуває ваші дані та конфіденційну інформацію, наприклад, облікові дані для входу в систему та номери кредитних карток.

Існують різні види фішингових атак. Зловмисник може видавати себе за довірену особу або створити особу, дуже схожу на довірену особу.

Дуже часто складно визначити, що особистість є підробленою, і багато хто неусвідомлено натискає на посилання, відкриває електронний лист або текстове повідомлення, в якому міститься шкідливе ПЗ.

Фішингова атака, яка призвела до втрати понад 250 NFT на Opensea, була проведена минулими вихідними. Власники NFT нічого не підозрювали і попалися на обман.

Вони отримали листи, в яких їм пропонувалося перенести свої NFT на інший гаманець. Кожен цифровий художник, який відкривав пошту, постраждав.

Відкривши пошту, кріейтори надали хакерам доступ до своїх дійсних підписів, завдяки чому зловмисники змогли підключити криптогаманці користувачів до шахрайського сайту.

Інше розслідування показало, що хакери обманом змусили користувачів вкрадених NFT підписати контракти, згідно з якими вони продали свої цифрові витвори мистецтва зловмисникам за ціною 0 ETH.

Деякі експерти вважають, що атака мала успіх через те, що Opensea використовує електронну пошту для зв'язку зі своїми користувачами. Тому їм було важко зрозуміти, що отримані електронні листи не були надіслані представниками маркетплейсу.

Платформа Opensea запустила сервер обслуговування клієнтів на базі комунікаційної платформи Web3 Metalink для запобігання можливим фішинговим атакам у майбутньому.

Цей канал зв'язку дозволить користувачам безпосередньо спілкуватися зі службою підтримки та не дозволить шахраям видавати себе за персонал.

Комунікаційний сервер обслуговування клієнтів дозволить вам отримувати підтримку, поради, своєчасні відповіді та оновлення безпосередньо від представників Opensea.

Тепер, коли ми побачили, як реалізуються фішингові атаки, ми перейдемо до вивчення наслідків для інвесторів і шанувальників цифрових активів.

Наслідки фішингової атаки на Opensea

Атака на гаманці деяких користувачів призвела до крадіжки понад 250 NFT, що шокує.

По-перше, багато користувачів вважають, що маркетплейси захищені від зовнішніх атак.

Деякі інвестори вважають, що, купуючи NFT і зберігаючи їх у блокчейн-гаманці, вони будуть у безпеці.

Проте ця атака змусила інвесторів переглянути свої переконання. Багато хто з них зараз шукає безпечнішу альтернативу, яка не поставить під загрозу безпеку їхніх активів.

Іншою метою цієї атаки є електронна пошта, яка є ефективним, але вразливим засобом зв'язку.

Більшість організацій використовують електронну пошту для офіційної кореспонденції. Коли люди отримують електронні листи з офіційної адреси, вони рідко звертають увагу на зміст та роблять те, що сказано у листі.

Через цю атаку також постраждає робота імейл-маркетологів. Надалі жертви атаки фішингу будуть ставитися до всіх електронних листів із підозрою, навіть якщо у відправниках вказана перевірена адреса. Також ймовірно, що деякі юзери перестануть використовувати свою адресу електронної пошти та шукатимуть альтернативні засоби зв'язку.

Висновок

Оскільки розробники програм впроваджують новітні механізми захисту, щоб гарантувати безпеку своїм користувачам, хакери також невпинно вивчають можливі шляхи обходу нових перешкод.

Отже, архітектура безпеки цих додатків має постійно покращуватись і часто оновлюватись. Особливо для проектів, подібних до Opensea, які містять багато активів і цінності.

Незважаючи на те, що вкрадені NFT були відстежені до приватного гаманця, необхідно зробити все можливе, щоб відновити довіру користувачів та запобігти подібним атакам у майбутньому.

Автор: дослідник Gate.io Valentine A.

*Ця стаття містить лише точку зору дослідників і не є посібником з інвестування.

*Всі права на текст цієї статті належать Gate.io. Репост цієї статті буде дозволено у разі зазначення Gate.io як джерело. В іншому випадку буде переслідуватись юридична відповідальність у зв'язку з порушенням авторських прав.