Ataque cibernético rouba centenas de NFTs na OpenSea e perdas somam US$ 1,7 milhão

A gigante das negociações de NFTs (tokens não fungíveis) OpenSea mal se recuperou dos “ataques de vampiro” que vinha recebendo nas últimas semanas e já se vê diante de um novo problema para enfrentar.

Neste sábado (19), o pânico foi instaurado depois da plataforma sofrer uma invasão que resultou no roubo de centenas de NFTs dos usuários da OpenSea.

A empresa anunciou estar investigando o “ataque de phishing” — um tipo de crime cibernético em que os usuários fornecem dados aos fraudadores através de links e propagandas que parecem reais —, e destacou que a origem do golpe não foi a plataforma de negociação de tokens.

A OpenSea também afirmou que os e-mails enviados aos clientes, as transações feitas na plataforma e os banners contidos no site não foram a porta de entrada para o golpe.

O presidente-executivo da companhia, Devin Finzer, disse no Twitter que o ataque já não parece mais estar ativo.

I know you’re all worried. We’re running an all hands on deck investigation, but I want to take a minute to share the facts as I see them:

Leia Também

SISTEMA FINANCEIRO

André Esteves, do BTG, diz que falhas dos órgãos de controle permitiram as fraudes do Banco Master

BOMBOU NO SD

Banco do Brasil (BBAS3) de olho na classe média, CVM faz a limpa na B3 e CSN Mineração (CMIN3) virando o jogo: veja as mais lidas da semana

— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022

O ataque milionário à OpenSea

De acordo com o serviço de segurança blockchain PeckShield, 32 pessoas sofreram o golpe e, no total, 254 tokens foram roubados ao longo do ataque, até mesmo NFTs das coleções Decentraland e Bored Ape Yacht Club.

Com a histeria noturna, os internautas começaram a especular sobre o tamanho do golpe — as previsões mais pessimistas chegaram a avaliá-lo em US$ 200 milhões. 

Mas, logo em seguida, Finzer afirmou que o roubo somou cerca de US$ 1,7 milhão (ou, considerando a cotação atual do dólar, em torno de R$ 8,65 milhões) em ethereum (ETH) para os bolsos dos ladrões.

Como foi feito o golpe

Os NFTs têm suas propriedades registradas na tecnologia blockchain, que funciona do mesmo modo que as redes que sustentam o bitcoin (BTC) e outras criptomoedas.

Cada NFT é único. Ou seja, quando você adquire um token, a propriedade dele passa a ser sua, tornando-o uma peça de colecionador que não pode ser replicada.

O ataque à OpenSea aparenta ter explorado uma flexibilidade no padrão de código aberto por trás da maioria das negociações inteligentes de NFT, como as realizadas na plataforma. 

De acordo com o CEO da empresa, nenhum mecanismo de segurança da OpenSea foi quebrado. Para Devin Finzer, o golpe foi feito em duas partes. 

• GUIA PARA BUSCAR DINHEIRO: baixe agora o guia gratuito com 51 investimentos promissores para 2022 e ganhe de brinde acesso vitalício à comunidade de investidores Seu Dinheiro

A princípio, os usuários assinaram um contrato parcial, que tinha uma autorização geral e diversos pontos deixados em branco. 

Com a assinatura das vítimas, os invasores conseguiram concluir o contrato por meio de uma chamada para seus próprios contratos, transferindo a propriedade dos NFTs sem pagamento. 

Para explicar de forma mais simples, imagine que você tenha um cheque em branco, somente com a sua assinatura. Caso você seja roubado, o ladrão pode preencher o restante dos dados do modo que ele quiser, com a quantia que quiser. 

No caso do ataque de phishing, não foi diferente: assim que foi assinado pelas vítimas, os golpistas preencheram as partes que faltavam do contrato e roubaram suas propriedades.

*Com informações de CNBC e The Verge