A gigante das negociações de NFTs (tokens não fungíveis) OpenSea mal se recuperou dos “ataques de vampiro” que vinha recebendo nas últimas semanas e já se vê diante de um novo problema para enfrentar.

Neste sábado (19), o pânico foi instaurado depois da plataforma sofrer uma invasão que resultou no roubo de centenas de NFTs dos usuários da OpenSea.

A empresa anunciou estar investigando o “ataque de phishing” — um tipo de crime cibernético em que os usuários fornecem dados aos fraudadores através de links e propagandas que parecem reais —, e destacou que a origem do golpe não foi a plataforma de negociação de tokens.

A OpenSea também afirmou que os e-mails enviados aos clientes, as transações feitas na plataforma e os banners contidos no site não foram a porta de entrada para o golpe.

O presidente-executivo da companhia, Devin Finzer, disse no Twitter que o ataque já não parece mais estar ativo.

O ataque milionário à OpenSea

De acordo com o serviço de segurança blockchain PeckShield, 32 pessoas sofreram o golpe e, no total, 254 tokens foram roubados ao longo do ataque, até mesmo NFTs das coleções Decentraland e Bored Ape Yacht Club.

Com a histeria noturna, os internautas começaram a especular sobre o tamanho do golpe — as previsões mais pessimistas chegaram a avaliá-lo em US$ 200 milhões. 

Mas, logo em seguida, Finzer afirmou que o roubo somou cerca de US$ 1,7 milhão (ou, considerando a cotação atual do dólar, em torno de R$ 8,65 milhões) em ethereum (ETH) para os bolsos dos ladrões.

Como foi feito o golpe

Os NFTs têm suas propriedades registradas na tecnologia blockchain, que funciona do mesmo modo que as redes que sustentam o bitcoin (BTC) e outras criptomoedas.

Cada NFT é único. Ou seja, quando você adquire um token, a propriedade dele passa a ser sua, tornando-o uma peça de colecionador que não pode ser replicada.

O ataque à OpenSea aparenta ter explorado uma flexibilidade no padrão de código aberto por trás da maioria das negociações inteligentes de NFT, como as realizadas na plataforma. 

De acordo com o CEO da empresa, nenhum mecanismo de segurança da OpenSea foi quebrado. Para Devin Finzer, o golpe foi feito em duas partes. 

• GUIA PARA BUSCAR DINHEIRO: baixe agora o guia gratuito com 51 investimentos promissores para 2022 e ganhe de brinde acesso vitalício à comunidade de investidores Seu Dinheiro

A princípio, os usuários assinaram um contrato parcial, que tinha uma autorização geral e diversos pontos deixados em branco. 

Com a assinatura das vítimas, os invasores conseguiram concluir o contrato por meio de uma chamada para seus próprios contratos, transferindo a propriedade dos NFTs sem pagamento. 

Para explicar de forma mais simples, imagine que você tenha um cheque em branco, somente com a sua assinatura. Caso você seja roubado, o ladrão pode preencher o restante dos dados do modo que ele quiser, com a quantia que quiser. 

No caso do ataque de phishing, não foi diferente: assim que foi assinado pelas vítimas, os golpistas preencheram as partes que faltavam do contrato e roubaram suas propriedades.

*Com informações de CNBC e The Verge