האקרים גנבו NFT במיליוני דולרים מפלטפורמת OpenSea הפופולרית
האקרים גנבו NFT במיליוני דולרים מפלטפורמת OpenSea הפופולרית
לפי דיווחים בתקשורת האמריקאית, עברייני סייבר פרצו לפלטפורמת ה-NFT הפופולרית בעולם וגנבו ממשתמשים יצירות בהיקף של 600 את'ריום, ששוויים כ-2 מיליון דולר
כל טרנד חדש מביא בשובלו נוכלים ועבריינים שמנסים לנצל אותו. הפעם מדובר ב-NFT, אותם אסימוני קריפטו שמקבעים מקוריות של יצירה כלשהי, בין אם דיגיטלית או פיזית. על פי דיווחים היום (א') ממספר כלי תקשורת מובילים בארה"ב, בהם בלומברג ו-Vice, עולה כי האקרים פרצו לפלטפורמת ה-NFT הפופולרית בעולם - OpenSea - וגנבו ממשתמשים יצירות בהיקף של כ-2 מיליון דולר או 600 את'ריום (מטבע קריפטו).
הגילוי של פעולות ההאקרים הכניס את קהילת ה-NFT לבהלה ויצר לא מעט בלבול וחוסר אמון. לא ברור איזה באג או פרצה ההאקרים ניצלו, אך באתר OpenSea פרסמו אמש (שבת) באנר שבו נכתב: "אנו חוקרים שמועות על פרצה בחוזים החכמים שלנו. אנו סבורים שמדובר במתקפת פישינג שמגיעה מחוץ לשירות. נא לא ללחוץ על קישורים מחוץ לדומיין opensea.io".
זו לא הפעם הראשונה שמתגלה בעיה בפלטפורמה. בחודש שעבר ניצלו נוכלים באג במערכת ניהול NFT שהוחזרו למכירה והצליחו לרכוש יצירות במחיר הרבה יותר נמוך משוויין בשוק. כך למשל במקרה אחד, נוכל רכש NFT של צילום דיגיטלי ב-1,740 דולר ומכר אותו בכ-190 אלף דולר. שבועות רבים לאחר מכן, ועדיין החברה לא החזירה לבעלי היצירות שרומו את שווייה המלא של היצירה, כ-2.5% בלבד בהתאם לתקנון השימוש שלה.
על פי בדיקה שנערכה בידי טל בארי, מחברת Zengo, נחשפה כתובת בלוקצ'יין שכנראה שימשה באירוע. לפי תוצאות בדיקת הבלוקצ'יין של הארנק שפורסמו באתר VICE בשבוע שעבר, OpenSea החזירה כמיליון דולר לקורבנות, אך המספר כנראה גבוה יותר שכן היסטוריית העסקאות מראה על סך עסקאות ששוות כ-2.5 מיליון דולר.
כעת עם הפרשה החדשה, ל-OpenSea תהיה הרבה מאוד עבודה להוכיח שהיא זירת סחר אמינה ובטוחה לבעלי ה-NFT. כמו כן, ההערכה הראשונית היא שההאקר או ההאקרים משתמשים כנראה באתר מזויף של הפלטפורמה כדי לבצע את ההונאה שלהם. נתוני יומן העסקאות בבלוקצ'יין מראים שהנוכל הצליח להעביר לרשותו אסימוני NFT רבים בחינם. בין היצירות דוגמאות של Bored Ape Yacht Club או Mutant Ape Yacht Club שנחשבים לאיקוניים בקהילה ושוויים כבר מגיע לעשרות ואף מאות אלפי דולרים בשוק.
הנוכל הצליח למכור לא מעט משללו, אך במקרים מסוימים הוא החזיר לא מעט מהם לבעלים החוקיים ללא תמורה. באחד מהם הוא גנב אוסף NFT גדול והחזיר לבעלים את כולם למעט אחד - BAYC NFT - ששוויו כנראה היה גבוה מספיק. עם זאת, בפלטפורמה הקפיאו את ה-NFT הזה וכעת גלישה לעמוד שלו מחזירה שהעמוד אינו קיים (שגיאה 404).
הפרשה הזו מזכירה לכולנו שבעולם הקריפטו או ה-web3 אין רשות או ארגון גג שמסדיר את ההתנהלות בתחום. כל אחד יכול לעשות מה שהוא רוצה, ללא חוקים או ביקורת. חוקר האבטחה דן גווידו צייץ אמש: "העתיד של אבטחת ה-web3 תלוי לגמרי בארנקים עם רמת בטיחות נמוכה בממשק המשתמש שלהם". בסך הכל לא ברור אם OpenSea תוכל להתמודד עם הבעיה החדשה, אך הסיפור הזה מזכיר מאוד את שלל הונאות הביטקוין ובורסות הקריפטו שנפרצו וקרסו בשנים הראשונות של טירוף מטבעות הדיגיטל. אם יש משהו שאפשר ללמוד מהמקרה הנוכחי הוא שצריך להיזהר מאוד היכן מפקידים את הכסף (האמיתי) שלכם ולבדוק שבמקרה של בעיה אתם מכוסים.