Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Hacker haben bei einer Phishing-Attack auf die beliebte NFT-Plattform OpenSea Tokens im Wert von insgesamt 1,7 Millionen US-Dollar entwendet.
Die Diebe nutzten laut OpenSea den in NFTs verwendeten Smart-Contract-Code aus. Der CEO der Plattform, Devin Finzer erklärte aber, dass die Attacke ihren Ursprung nicht auf der Website selbst hat.
Experten warnen, dass die mangelnde Sicherheit von Kryptowährungen künftig ein großes Hindernis zur Akzeptanz der digitalen Wertanlagen darstellen wird.
Die beliebte NFT-Plattform OpenSea hat bestätigt, dass es Hackern bei einem Phishing-Angriff am Wochenende gelungen ist, Tokens im Wert von schätzungsweise 1,7 Millionen US-Dollar zu stehlen. NFTs sind digitale Kunstwerke, die durch die Blockchain fälschungssicher und einzigartig gemacht werden sollen.
In der Nacht von Samstag auf Sonntag haben die Diebe Nutzerinnen und Nutzer wohl dazu gebracht, Smart Contracts teilweise auszufüllen. Ein Smart Contract („intelligenter Vertrag“) ist ein Programmcode, der in der Blockchain gespeichert wird und sich selbst ausführt. Smart Contracts werden dazu genutzt, NFTs zu erzeugen, den Eigentümern zuzuweisen und später an andere zu übertragen. So läuft es auch bei OpenSea. Die Hacker nutzten das System aus, vervollständigten den Rest des Vertrags und machten so die NFTs –„Non-Fungible Tokens“ – automatischen zu ihrem Eigentum. Diese Art der Attacke ist auch als Phishing bekannt.
Lest auch
NFTs im Wert von 1,7 Millionen Dollar sind weg
„Soweit wir das beurteilen können, handelt es sich um einen Phishing-Angriff. Wir glauben aber nicht, dass die Attacke ihren Ursprung auf unserer eigenen Website hat. Es scheint, dass bisher 32 Benutzer eine bösartige Payload von einem Angreifer unterschrieben haben, und einigen so ihre NFTs gestohlen wurden“, meldete Devin Finzer, CEO von OpenSea, am Sonntag auf Twitter.
I know you’re all worried. We’re running an all hands on deck investigation, but I want to take a minute to share the facts as I see them:
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
“>
Externer Inhalt nicht verfügbar
Deine Privatsphäre-Einstellungen verhindern das Laden und Anzeigen aller externen Inhalte (z.B. Grafiken oder Tabellen) und Sozialen Netzwerke (z.B. Youtube, Twitter, Facebook, Instagram etc.)
Zur Anzeige aktiviere bitte die Einstellungen für Soziale Netzwerke und externe Inhalte in den Privatsphäre-Einstellungen.
Gerüchte über einen 200-Millionen-Dollar-Diebstahl wies Finzer später zurück. Die Zahl der Opfer konnte auf 17 Personen eingegrenzt werden. „Der Angreifer hat durch den Verkauf einiger der gestohlenen NFTs 1,7 Millionen Dollar ETH (Ethereum, Anmerkung der Redaktion) in seiner Brieftasche“, stellte er klar.
Der Krypto-Verlust ist im Vergleich zu jüngsten Hacker-Angriffen relativ gering. So erlitt die beliebte Smart-Contract-Plattform Solana nach einem weitreichenden Hack Anfang Februar einen Verlust im Wert von etwa 322 Millionen US-Dollar. Die jüngsten Verbrechen deuten auf einen Trend hin. Denn der NFT-Markt wird immer größer, aber gleichzeitig steigt auch die Zahl der kriminellen Aktivitäten. Ein aktueller Chainalysis-Bericht stellte demnach fest, dass Kriminelle im Jahr 2021 Kryptowährungen im Wert von 14 Milliarden US-Dollar erbeutet haben, was einem Anstieg von 80 Prozent entspricht.
Lest auch
Anhaltende Sicherheitsprobleme könnten zu einem Hindernis für die allgemeine Akzeptanz von Kryptowährungen werden, so die Warnung einiger Experten. Denn laut Hart Lambur, Mitbegründer des UMA-Protokolls, ist das Risiko von Smart-Contract-basierten Angriffen im dezentralen Finanzwesen, insbesondere in noch wachsenden Netzwerken wie Solana, ziemlich hoch.
„Smart-Contract-Bugs sind leider ein häufiges Risiko bei dezentralisierten Finanzmärkten“, sagte Lambur Insider. Die OpenSea-Hacker missbrauchten das Wyvern-Protokoll, das den meisten NFT-Smart-Contract-Prozessen zugrunde liegt. Da das Protokoll „Open Source“ ist, ist der Code öffentlich und für Dritte zugänglich. Laut der Wyvern-Protokoll-Webseite gibt es mehrere Möglichkeiten, eine Bestellung zu autorisieren, darunter eine Nachricht mit Unterschrift oder etwa eine Vorabgenehmigung.
Eine Lücke im Smart Contract soll Schuld sein
Die OpenSea-Opfer unterzeichneten wohl einen Teilvertrag für den NFT-Handel, in dem sie dem Angreifer eine allgemeine Vollmacht erteilten, diese aber weitgehend leer ließen – ähnlich wie beim Unterschreiben eines Blankoschecks. Dadurch konnten die Hacker die NFTs stehlen, ohne eine Zahlung zu leisten. Nach Angaben des Kryptoanalyseunternehmens PeckShield wurden so mindestens 254 NFTs erbeutet, wobei OpenSea diese Zahl noch nicht bestätigt hat. Nach Gesprächen mit den Betroffenen ist OpenSea zu dem Schluss gekommen, dass ein neuer Wyvern 2.3-Vertrag bei dem Phishing-Angriff nicht verwendet wurde, so der CEO von OpenSea.
Lest auch
Finzer sagte außerdem, dass Phishing durch Anklicken des Banners der OpenSea-Website, durch Anklicken einer gefälschten OpenSea-E-Mail oder durch Verwendung des Tools zur Migration von Angeboten auf der Plattform ausgeschlossen werden konnte. Auch das Prägen, Kaufen, Verkaufen oder Auflisten von NFTs sei nicht schuld, sagte er. Die NFT-Plattform untersuche, ob die Opfer mit einer Liste gängiger Websites interagiert hätten, fügte er hinzu. OpenSea reagierte nicht auf unsere Anfrage nach einem Kommentar.
Dieser Artikel wurde von Lara Hansen aus dem Englischen übersetzt. Das Original findet ihr hier.
Die Arcane Kids (mythische Hacker mit Twitter-Account) haben eine Dreamcast von einem Entwickler gefunden und dort die Zukunft der Videospiele der 90er gefunden. Natürlich mit Sonic als Star. Sonic Dreams nennt sich das Release jetzt: vier abenteuerl…
