OpenSea dün, kullanıcıların Ethereum (ETH) blockchainindeki NFT’leri yeni bir akıllı sözleşmeye taşımalarını gerektiren bir akıllı sözleşme güncellemesi duyurmuştu. Şu anda taşıma işlemi için herhangi bir gas ücreti gerekmiyor ve NFT’lerini Ethereum’dan transfer etmeyen kullanıcıların eski ve aktif olmayan NFT’lerini kaybetme riski bulunuyor.
En bilinen NFT pazar yerlerinden OpenSea söz konusu güncellemeyi duyurduktan sonra sonra ve hâlâ devam eden bir kimlik hırsızlığı saldırısına maruz kaldı.
Sonuç olarak güncellemenin kısıtlı zamanı nedeniyle hacker’ların eline bir fırsat geçmiş oldu. OpenSea’nın güncelleme duyurusundan birkaç saat sonra çeşitli kaynaklarda, listeden çıkarılacak NFT’leri hedef alan ve hâlâ devam eden bir bir siber saldırı hakkında haberler çıkmaya başladı.
OPENSEA EXPLOITED Everyone tag @opensea to get them to pause their new contract while everyone figures out whats going on with the exploit! #NFT #NFTs #NFTTheft #NFTScam #NFTSecurity #NFTAlert
— gt_dog (@gt_dog84) February 20, 2022
Yapılan araştırmalar sonucunda hackerların, OpenSea’nın yeni akıllı sözleşmesine taşınmayan NFT’leri çalmak için oltalama e-postaları kullandığı ortaya çıktı. Kullanıcı bu sahte emailden NFT taşınmasını onayladığı anda hackerlar artık NFT’lere erişebiliyor.
Though unconfirmed, the @opensea hack is most likely phishing. Users authorize the "migration" as instructed in the phishing email and the authorization unfortunately allows the hacker to steal the valuable NFTs... pic.twitter.com/Fj5d9ImC2r
— PeckShield Inc. (@peckshield) February 20, 2022
Kullanıcılara artık yeni akıllı sözleşmeye geçişle ilgili tüm onayları iptal etmeleri ve OpenSea’den gelen tüm bildirimleri dikkatle takip etmeleri tavsiye ediliyor.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
OpenSea kurucu ortağı ve CEO'su Devin Finzer şimdiye kadar 32 kullanıcının NFT’lerini kaybettiğini duyurdu ve böylece kimlik hırsızlığını da doğrulamış oldu. NFT pazar yerindeki bu saldırının sırrı henüz çözülmedi ancak blockchain araştırma şirketi Peckshield’e göre devam eden bu saldırının kaynağında e-posta kimliklerinin de dahil olduğu bir kullanıcı bilgisi sızıntısı yatıyor olabilir.
CEO ayrıca saldırıdan etkilenen kullanıcıların şirkete ulaşmasını da istedi ve şöyle devam etti:
“Eğer kendinizi korumak istiyorsanız ve bu konuda endişeliyseniz NFT koleksiyonunuza erişimi onaylamayabilirsiniz.”
İlginizi Çekebilir: Birleşik Krallık'ta yetkililer ilk kez NFT'lere el koydu
Ayrıca Birleşik Krallık'ın ana vergi dairesi Majestelerinin Gelir ve Gümrük İdaresi (HMRC), vergi kaçırma şüphesine ilişkin üç NFT'yi ele geçirmişti.
Cointelegraph’ın daha önce de bildirdiği gibi şüpheliler, sahte kimlikler kullanarak 250 adet sahte şirket üzerinden 1,8 milyon dolar katma değer vergisi (KDV) kaçırdı.