Purtroppo è accaduto un fatto sconcertante: sono stati rubati quasi 2 milioni di dollari di NFT da OpenSea, causando un disagio non indifferente e che ha portato scompiglio nella piattaforma. Ma come è successo? 
Sabato alcuni cybercriminali hanno voluto rubare centinaia di NFT agli utenti di OpenSea. Parliamo di ben 254 token sottratti nel corso di una sola notte, inclusi quello di Decentraland e Bored Ape Yacht Club. Ad aver contato gli elementi è stato un foglio di calcolo compilato dal servizio di sicurezza blockchain PeckShield, il quale si è occupato della questione.
I bersagli sono stati 32 utenti in totale, e a giudicare da ciò che è stato rubato si parla di una perdita considerevole e che non accadeva da molto tempo, anzi, forse non è mai successa prima d’ora: parliamo di ben 1,7 milioni di dollari di NFT, adesso nelle mani di coloro che hanno compiuto questo gesto. Ma cosa si sa sull’accaduto?
La ricostruzione dei fatti
L’attacco ha avuto luogo grazie ad una vulnerabilità scovata nel protocollo Wyvern, lo standard open source basato sulla maggior parte dei contratti intelligenti NFT, come anche quelli di OpenSea d’altronde. Ma sembra che abbiano capito in che maniera abbia avuto luogo l’attacco, seppur non l’avessero intuito subito.
Devin Finzer, il CEO, ha descritto il colpo in due parti diverse. Nel primo caso gli obiettivi hanno firmato un contratto parziale con un’autorizzazione generale e ampie porzioni lasciate in bianco. Con la firma in atto, i criminali hanno completato il documento con una chiamata al proprio contratto, la quale ha trasferito la proprietà delle NFT senza pagamento. Così facendo gli obiettivi dell’attacco avevano firmato un assegno in bianco e, una volta fatto ciò, gli aggressori hanno potuto compilare il resto dell’assegno per prendere le loro attività.
Tuttavia, c’è un paradosso da risolvere adesso: OpenSea aveva affermato di aver aggiornato il sistema di contratti nel momento in cui è avvenuto l’attacco, ma la società ha negato categoricamente che l’origine di questo furto provenga dai documenti firmati. Secondo loro non possono aver sfruttato una vulnerabilità che in realtà non esiste, o almeno, questo è ciò che sostengono.
Non essendoci altri dettagli al riguardo, l’unica cosa da fare è attendere ulteriori chiarimenti da parte dell’azienda, la quale dichiara su Twitter – tramite il CEO – che: “Ti terremo aggiornato man mano che impariamo di più sulla natura esatta dell’attacco di phishing. Se hai informazioni specifiche che potrebbero essere utili, invia un messaggio a @opensea_support“.
