ראשיגלובס פיננסיכל הכותרותשוק ההון והשקעותנדל''ן ותשתיותמשפטטכנולוגיהגלובליניהול וקריירהדעותשיווק ופרסוםמגזין Gתרבותוול סטריט ג'ורנל
טכנולוגיה האקרים הרוויחו 3 מיליון דולר ממכירת NFT גנובים
ראשי
גלובס פיננסי ראשי מניות מניות בחו''ל ארביטראז' אופציות מט''ח אג''ח ק. נאמנות קרנות סל חוזים עתידיים מכירות בשורט מדריכים פיננסיים כלכלת ישראל
כל הכותרות המומלצות העיתון הדיגיטלי
שוק ההון והשקעות נדל''ן ותשתיות משפט טכנולוגיה גלובלי ניהול וקריירה תרבות
מדורים נוספים שיווק ופרסום בארץ דעות מגזין G The Wall Street Journal המשרוקית
פודקאסטים
תיק אישי
English Website גלובס ועידות וכנסים
גלובס שלי נושאים שמעניינים אותי כתבות ששמרתי הניוזלטרים שלי ספריית הכתבות שקראתי תיק ההשקעות שלי אודות

אודות גלובס

גלובס על גלובס דוח אמון 2022

פרוייקטים ושיתופי פעולה

שלומות עיצוב נדל''ן אימפקט לכל הפרויקטים
רכישת מינוי גלובס שאלות ותשובות שירות למנויים נגישות הגדרות לוח גלובס יצירת קשר פרסמו אצלנו תנאי שימוש מדיניות פרטיות
NFT

האקרים הרוויחו 3 מיליון דולר ממכירת NFT גנובים

לפי צ'ק פוינט, האקרים רימו משתמשי פלטפורמת OpenSea המתמחה במסחר ב-NFT • התוקפים ניצלו את העובדה שבבלוקצ'יין אי אפשר לשנות חוזים וכי לצורך שדרוג חוזה על כל משתמש להירשם מחדש • איך לזהות פישינג?

נבו טרבלסי 21.02.2022
צילום מסך מתוך OpenSea. האקרים ניצלו חולשה בפלטפורמה
צילום מסך מתוך OpenSea. האקרים ניצלו חולשה בפלטפורמה

האקרים ניצלו את משתמשי פלטפורמת OpenSea והרוויחו 3 מיליון דולר ממכירת נכסי NFT גנובים, כך דווח אתמול (א') על ידי החברה. 

על פי ציוץ של OpenSea, מספר האנשים שהושפעו מהתקיפה עומד על 17, ומספר האנשים שקיימו אינטרקציה עם התוקפים היו 32. על פי החברה, המתקפה אינה פעילה בשלב זה, וכי היא ממשיכה לחקור את התקיפה.

OpenSea היא הפלטפורמה הראשונה והגדולה למסחר ב-NFT - אסימון קריפטוגרפי ייחודי שאינו בר תחליף - אין שני זהה לו ולפיכך לא ניתן לזיוף. לפטלפורמה יש יותר מ-80 מיליון נכסי NFT הנסחרים על ידי כ-600 אלף משתמשים. זאת, מידי יום בסכום של כ-11 מיליון דולר.

לפי צ'ק פוינט, הרקע להצלחת ההונאה נעוץ בעובדה כי בימים אלה ב-OpenSea ביצעו תהליך שידרוג חוזים למשתמשיה. לצורך השדרוג החברה הייתה צריכה לטפל ברישומים ישנים של NFT לא רלוונטיים. מאחר שבבלוקצ'יין אי אפשר לשנות חוזים - צריך היה לייצר חוזה חדש לכל משתמש. לפיכך, כל המשתמשים היו צריכים לבצע רישום מחדש לזירה - מדובר בפעולה בסיסי שנוצלה על ידי התוקפים.

להערכת חברת האבטחה, ההאקרים ניצלו את מהלך השידרוג על ידי הפצת לינק למשתמשי הפלטפורמה דרכו גרמו להם להיכנס לאתר מזויף וביצעו פישינג (דיוג) וכך גנבו את פרטיהם האישיים. לצורך שדרוג, המשתמשים יתבקשו לחתום על החוזה החדש, שייראה בדיוק כמו המקורי - אך בפועל יהיה מזויף. בעת האישור, תשלח פניה לקוד החוזה של התוקף עם פעולה שנקראת "atomicMatch", ואז, למעשה, התוקף יוכל לקחת את הבקשה ולהעביר את זה לחוזה של OpenSea. כך שייראה כאילו העסקה התבצעה על ידי הקורבן.

מדובר בפעולה מרכזית ובסיסית באתר של OpenSea שהתפקיד לאשר עסקאות על ידי אימות הפרמטרים בעסקה. החוזה עם OpenSea מעביר את ה-NFT לתוקף, כשבפועל הקורבן לא יודע שזה קרה וזה לא מגיע אליו.

על פי צ'ק פוינט, חוקרי החברה רומן זאיקין, דיקלה ברדה ועודד ואנונו גילו שהתוקפים הצליחו לגנוב יותר מ-3 מיליון דולר כתוצאה ממכירה של חלק מה-NFT הגנובים. בחברה ממליצים איך להישאר בטוחים: "מעבר לתשומת לב מרובה לפרטים של העסקה, חתימה על עסקה זה מתן הרשאה לאדם אחר לגשת לכל ה-NFT והמטבעות הקריפטוגרפיים שלכם. הימנעו מלחיצה על קישורים מהמייל, לא משנה מי שולח לכם אותה. נסו לאתר את האתר ולהגיע בעצמכם לספק". בנוסף, "אתרים ופרויקטים רבים מבקשים גישה קבועה ל-NFT שלכם על ידי שליחת עסקה לחתימה. עסקה זו תעניק לאתרים או לפרויקטים גישה קבועה ל-NFT שלכם, אלא אם תבטלו את אישור העסקה בקישור הבא".