Attacco phishing OpenSea, che cosa è successo?

OpenSea, marketplace NFT più grande al mondo, a febbraio 2022 è stato colpito da un attacco di phishing da ben 1,7 milioni di dollari.

Pare che gli hacker abbiano approfittato di una migrazione pianificata dei contratti per indurre gli utenti a firmare centinaia di smart contract fasulli.

In questo articolo approfondiamo in dettaglio contesto e e meccanismi dell’offensiva.

Cos’è Opensea
Attacco phishing OpenSea: contesto generale
Attacco phishing OpenSea: i numeri della truffa
Come proteggersi

Cos’è Opensea

OpenSea è un mercato decentralizzato peer-to-peer per la compravendita di NFT.

Questi includono oggetti da collezione, giochi, musica e qualsiasi tipo di risorsa virtuale. Lo si può immaginare come una sorta di eBay di prodotti crittografici.

È il primo e più grande mercato NFT fondato in origine per Criptokitties, un gioco che consente di acquistare, collezionare e allevare gatti virtuali.

A livello tecnico, OpenSea si basa su una serie di funzionalità, quali:

Smart contract

OpenSea utilizza gli smart contract della blockchain Ethereum per gestire le transazioni e le proprietà degli NFT. Si tratta di programmi eseguiti sulla blockchain che definiscono le regole di funzionamento della piattaforma, come i meccanismi di pagamento e di sicurezza.

Wallet

Per poter utilizzare OpenSea, gli utenti devono avere un portafoglio (wallet) Ethereum compatibile con gli NFT.

Il portafoglio consente agli utenti di

detenere
inviare
ricevere gli NFT

sulla blockchain Ethereum.

Creazione e caricamento di NFT

Gli utenti possono creare i propri NFT utilizzando strumenti di creazione come Adobe Photoshop o GIMP, quindi caricarli sulla piattaforma.

A quel punto, gli NFT sono automaticamente registrati sulla blockchain come token unici.

Marketplace

Gli utenti usufruiscono di OpenSea avviando trattative di vendita e scambio dei propri NFT.

La piattaforma offre strumenti per la ricerca e il filtraggio, nonché un sistema di offerte e richieste per facilitare la compravendita.

Pagamenti

Le transazioni su OpenSea avvengono attraverso la blockchain Ethereum e vengono eseguite tramite gli smart contract.

Gli utenti possono effettuare pagamenti utilizzando criptovalute come Ethereum o altri token ERC-20 supportati.

Commissioni

I profitti di OpenSea derivano dalle commissioni applicate sulle transazioni. Queste variano in base al tipo di transazione e vengono pagate utilizzando gli NFT stessi.

Infine, bisogna tener presente che si tratta di un mercato totalmente deregolamentato, il che significa che non esistono:

organi centrali che controllino le transazioni sulla piattaforma
intermediari tra l’acquirente e il venditore

Attacco phishing OpenSea: contesto generale

Partiamo innanzitutto dal contestualizzare l’attacco di phishing contro gli utenti OpenSea.

A febbraio 2022, gli amministratori della società avevano annunciato una migrazione dei contratti NFT da Ethereum al nuovo smart contract Wyvern.

La richiesta di aggiornamento sarebbe stata comunicata ad ogni singolo utente tramite mail, e avrebbe comportato la sottoscrizione di un contratto.

Era stato lo stesso fondatore e amministratore delegato Devin Finzer a darne notizia su Twitter e sul blog ufficiale della società.

Tuttavia, trattandosi di un’informazione di pubblico dominio, gli hacker non hanno tardato ad approfittare della situazione.

Sembra che i pirati informatici abbiano duplicato formato e contenuto dell’e-mail ufficiale inviata agli utenti di Opensea, invitandoli a finalizzare la migrazione cliccando su una call-to-action.

Poiché agli utenti erano state concesse poco meno di due settimane per portare a termine la procedura, per gli hacker non è stato affatto complicato instillare un forte senso di urgenza nelle vittime.

Il click sul link le avrebbe, quindi, reindirizzate ad una landing page di phishing. Da qui, queste avrebbero visualizzato un contratto del tutto simile a quello legittimo, tuttavia mancante di molteplici clausole.

Di fatto, coloro che hanno sottoscritto questo documento digitale, anziché effettuare un semplice migrazione di servizio, si sono visti sottrarre tutti gli NFT in loro possesso.

In breve, non soltanto hanno trasferito i propri token sui portafogli dei truffatori, ma i beneficiari ne hanno usufruito anche a costo zero.

Attacco phishing Opensea: i numeri della truffa

Sebbene molti dettagli sulla vicenda non siano ancora stati del tutto chiariti, le rilevazioni hanno portato alla luce un po’ di numeri.

All’indomani della vicenda, le indagini hanno evidenziato che i server OpenSea non sono stati direttamente attaccati.

Pare che il tutto sia partito da mittenti sconosciuti che ne hanno emulato il dominio e-mail.

Ufficialmente non è stato nemmeno riconosciuto il collegamento diretto con il processo di migrazione. Pare, infatti, che alcuni episodi di phishing si fossero verificati già in precedenza.

Tuttavia, il lasso di tempo in cui i tentativi di truffa si sono concentrati porta a ipotizzare che l’aggressione sia stata studiata appositamente per approfittare della situazione.

In numeri, le stime iniziali parlavano di circa 32 vittime, per un’estorsione equivalente a 2 milioni di dollari in ETH.

Accertamenti successivi hanno poi attestato 17 utenti truffati, per un totale di 254 transazioni fraudolente.

Pur non essendo direttamente responsabile, la società si è messa a disposizione delle vittime, fornendo loro assistenza per recuperare il maltolto.

Come proteggersi

La vicenda OpenSea non è che un esempio delle tante situazioni da cui gli hacker possono trarre vantaggio.

Il phishing si attesta infatti come una delle minacce più pervasive del cyberspazio.

Diventa quindi essenziale non abbassare mai la guardia.

Forniamo di seguito una lista di best practice di prevenzione:

sii vigile: le aziende legittime non ti chiederanno mai di condividere la tua password o altri dati sensibili via e-mail o per telefono
guarda i dettagli: le e-mail di phishing provengono spesso da un indirizzo e-mail simile, ma non identico alla vera fonte. I dettagli sono generalmente un po’ strani: un URL potrebbe essere errato o l’e-mail potrebbe essere indirizzata con qualcosa di generico come “ciao caro” invece del tuo nome. Questi sono tutti segni rivelatori di un tentativo di phishing
non fare clic su collegamenti o allegati sospetti : gli allegati possono contenere virus e malware ed il link potrebbe non portarti al sito reale. Aggiungi i segnalibri dei siti web originali e usa solo i collegamenti salvati

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.