Fungible olmayan belirteç (NFT) pazarı OpenSea, 17 kullanıcısını yaklaşık 2 milyon dolar değerinde 250’den fazla NFT’siz bırakan bir kimlik avı saldırısını araştırıyor.
NFT’ler, dijital dosyaların, tipik olarak sanat eserinin medya dosyalarının sahipliğini beyan eden, bu durumda Ethereum olan bir blok zincirinde depolanan verileri temsil eder.
Şu anda değeri 13,3 milyar dolar olan ve dünyanın en büyüklerinden biri olarak kabul edilen OpenSea, aynı zamanda nadir dijital öğelerin ve kripto koleksiyonlarının ticaretini de sağlayan eşler arası bir NFT pazarıdır.
Bir geçişten yararlanma
Kimlik avı aktörleri her zaman kullanıcıların harekete geçmesini gerektiren değişikliklerden yararlanmanın yollarını arar ve OpenSea NFT hırsızlığı da farklı değildir.
Check Point’teki araştırmacılar şöyle diyor: rapor bugün kimlik avı aktörlerinin OpenSea hakkında bildikleri akıllı sözleşme sistemini yükseltmek platformdaki eski ve etkin olmayan listeleri temizlemek ve kendilerine ait e-postalar ve web siteleri ile geçişe hazırlanmak.
OpenSea, kullanıcılarına, platformu kullanmaya devam etmek istiyorlarsa 18 – 25 Şubat tarihleri arasında listelerini güncellemeleri gerektiğini bildirdi.
Bu süreçte onlara yardımcı olmak için platform, tüm kullanıcılara listelerin taşınmasının nasıl onaylanacağına ilişkin talimatlar içeren e-postalar gönderdi.
Kimlik avı aktörleri bu süreçten yararlandı ve mesajı OpenSea’den doğrulanmış kullanıcılara göndermek için kendi e-posta adreslerini kullandı ve orijinal onaylarının geçmediğini düşünmeleri için onları kandırdı.

Sahte e-postaya yerleştirilen bağlantı, kurbanların sözde geçişle ilgili bir işlemi imzalamalarının istendiği bir kimlik avı web sitesine işaret ediyordu.

Bunun yerine, işlem, aktörün doğrulanmış parametrelerle bir dizi iletme isteği gerçekleştirmesini sağlayarak NFT sahipliğini saldırgana iletmesine neden oldu.

Check Point’in açıkladığı gibi, aktör, saldırının amaçlandığı gibi çalışacağını doğrulamak için 21 Ocak 2022’de kuru bir geri dönüş bile gerçekleştirdi.
OpenSea’den ödün verilmedi
OpenSea, saldırının platformdaki veya ticaret sistemlerindeki herhangi bir güvenlik açığından yararlanmadığını, bunun yerine yalnızca kimlik avı yoluyla kullanıcıları aldatmaya dayandığını belirtmekte gecikmedi.
Bu nedenle platform, kullanıcılara uyanık kalmalarını ve opensea.io alanına ait olmayan bağlantıları takip etmekten kaçınmalarını tavsiye etti.
Ekibimiz, bu kimlik avı saldırısının belirli ayrıntılarını araştırmak için gece gündüz çalışıyor. Kesin kaynağı henüz belirlememiş olsak da, birkaç EOD güncellemesini paylaşmak istedik:
— OpenSea (@opensea) 21 Şubat 2022
Ayrıca, kimlik avı e-postalarının platformun dışından geldiği ve platformun e-posta dağıtım sisteminin güvenliğinin ihlal edilmediği doğrulandı.
Şu anda, saldırı durmuş görünüyor, en son işlem dün meydana gelen.
NFT’leri kendinize saklayın
İşlemleri dikkat etmeden imzalamak, başkalarına dijital varlıklarınızın sahipliğini devretme izni verir. Değişim platformundan gelen talepler hariç, diğer tüm işlem talepleri reddedilmelidir.
Bu istekler e-posta yoluyla geliyorsa, herhangi bir işlem yapmadan önce her zaman göndereni doğrulamanız gerekir. Ethereum teklifleri belirteç onaylarınızı kontrol etmek için bir araç ve gerekirse bunları iptal edin.