Fortinet’in geçen hafta, siber saldırganların BitRAT kötü amaçlı yazılımını yaymak için değiştirilemez token (NFT) çılgınlığından yararlandıkları konusunda uyardığı gibi, NFT dolandırıcılığının hedefi olma sırası OpenSea pazarının kullanıcılarına geldi.
Bir sözleşme geçiş girişimi sırasında, siber suçlular gerçekten de bir kimlik avı saldırısı yoluyla NFT dolandırıcılığı kurdular.
zorunlu göç
Geçen hafta, OpenSea NFT Marketplace duyuruldu dağıtım Ethereum’daki eski etkin olmayan NFT listelerinin güvenli bir şekilde süresinin dolmasını sağlamak için bir yükseltme ile tamamlanan sözleşme geçişlerinin sayısı. Amaç ayrıca OpenSea’nin “gelecekte yeni güvenlik özellikleri sunmasına” izin vermekti.
Programa göre, bu göç gerçekleşmesi gerekiyordu 18-25 Şubat arasında.
NFT sahiplerinin değişikliği yapması gerekir. Bu yüzden OpenSea bir rehber yayınladı onlara yardım için. Son teslim tarihinden sonra, taşınmayan tüm kayıtların süresi dolacak, ancak bu pencereden sonra hiçbir ek ücret ödemeden yeniden kaydedilebilirler.
Fırsatçı bir kimlik avı kampanyası
Ancak, bir saldırgan bundan yararlanma fırsatı gördü. Check Point Research, şunu öneriyor: kimlik avı e-postaları gönderildi kullanıcılara, onları sahte web sitelerine gönderme.
Araştırmacılar, siber suçluların “yükseltme sürecinden yararlandığını ve OpenSea ile aynı e-postayı kullanarak ve kurbanlarına ileterek NFT kullanıcılarını dolandırmaya karar verdiğini” söylüyor.
Marketplace kullanıcılarının bir bağlantıya tıklayıp OpenSea’den gelen meşru bir istek gibi görünecek şekilde tasarlanmış kötü niyetli bir işlemi imzalamaları için kandırıldığı iddia ediliyor.
İki milyon dolardan fazla para topladı
Araştırmacılara göre, saldırgan geçişten önce sözleşmesini oluşturdu ve “kurbanın tüm NFT’lerini tek bir işlemde çalabilen” bir istek formu olan atomicMatch_’i kullandı.
en cüzdan Check Point Research’e göre, çalınan bazı NFT’lerin satışından sonra iki milyon dolardan fazla kimlik avı saldırısı içeriyordu. Ancak bu yazı itibariyle, bu hesapta yalnızca yaklaşık 8.000 dolar kaldı.
Bu cüzdan adresinden para yatırma ve çekme dahil toplam 350’den fazla işlem yapılmıştır.
Saldırı bitmiş görünüyor
Başlangıçta OpenSea, kimlik avı saldırısından sonra NFT hırsızlığı kurbanlarının sayısını tahmin ediyordu. 32 kullanıcıya.
OpenSea CEO’su Devin Finzer 20 Şubat’ta yaptığı açıklamada, “Saldırı bu noktada artık aktif değil gibi görünüyor – saldırganın hesabından iki saat boyunca herhangi bir kötü niyetli etkinlik görmedik” dedi. “NFT’lerin bazıları iade edildi. Yakın zamanda kullanıcılara gönderilen herhangi bir kimlik avı e-postası tespit etmedik, ancak şu anda hangi web sitesinin kullanıcıları kötü niyetli iletileri imzalamaları için kandırdığını bilmiyoruz. »
Açık deniz Twitter’da söyledi ekibinin bu soruşturma üzerinde “24 saat” çalıştığını ve iddia edilen kurbanların sayısının 17’ye düşürüldüğünü söyledi.
“İlk sayımız, yalnızca kimlik avı saldırısının kurbanları değil, saldırganla ‘etkileşime giren’ herkesi içeriyordu. »
Saldırganın cüzdanında yapılan son sahte işlemin üzerinden 22 saatten fazla zaman geçti.
OpenSea dışında hedeflenen bir saldırı
OpenSea’nin teknik direktörü Nadav Hollander, bir açıklama yayınladı. Twitter dizisi şirketin OpenSea’den gelmediğini söylediği saldırının mevcut anlayışı hakkında.
“Tüm kötü niyetli komutlar, etkilenen kullanıcıların bir noktada bir yerde bir komut imzaladıklarını gösteren geçerli imzalarını içerir” diyor. “Ancak, bu siparişlerin hiçbiri imza sırasında OpenSea’de yayınlanmadı. »
Ayrıca yeni Wyvern 2.3 sözleşmesinde siparişler yerine getirilmedi.
“32 kullanıcı [l’estimation a été réduite à 17, NDLR] nispeten kısa bir süre içinde kendilerinden NFT’ler çalındı. Bu son derece talihsiz bir durumdur, ancak sistemik bir sorundan ziyade hedefli bir saldırıyı düşündürür. […] Bu bilgiler, etkilenen kullanıcılarla yaptığımız görüşmeler ve güvenlik uzmanları tarafından yapılan araştırmalarla birlikte, toplanan bu kötü niyetli siparişlerin yakında geçersiz kılınması göz önüne alındığında, sözleşme 2.2’nin kullanımdan kaldırılmasından önce yürütülen bir kimlik avı operasyonunu önermektedir. […] Saldırı OpenSea dışında yapılmış gibi görünse de, etkilenen kullanıcılara aktif olarak yardım ediyoruz ve onlara daha fazla yardım sağlamanın yollarını tartışıyoruz” diyor Nadav Hollander.
Siber güvenlik uzmanı Dan Guido ayrıca cüzdanların doğasında bulunan güvenlik sorunlarına ve bunların kimlik avı kampanyalarına maruz kalmasına da dikkat çekti.
OpenSea için soruşturma devam ediyor.
Kaynak: ZDNet.com
