- 17 Nutzer von OpenSea wurden Opfer einer Phishing-Attacke, die wahrscheinlich per E-Mail vorbereitet wurde.
- Da der eigentliche Angriffsvektor zunächst unklar war, verbreiteten sich Gerüchte, dass OpenSea selbst gehackt worden sei.
- Auch bei dem Verlust gingen die Zahlen zunächst weit auseinander und reichten zwischen 3 Millionen und 200 Millionen US-Dollar.
Schrecksekunde für alle Fans und Sammler von NFTs, denn gestern wurde via Social Media bekannt, dass einigen Nutzern die Sammelstücke aus dem Wallet geraubt worden sind. Schnell verbreiteten sich Gerüchte, die für noch mehr Verunsicherung sorgten.
Dadurch wurde das Team hinter dem NFT-Marktplatz dazu gezwungen, alle Theorien zu dem Vorfall abzuklopfen und zu prüfen, ob Smart-Contracts, Migrations-Tools und die Website auch wirklich sicher sind. Am Ende gab es dann zumindest eine gute Nachricht, denn es lag nicht an einer Sicherheitslücke bei OpenSea, was automatisch bedeutet, dass Millionen von Nutzer aufatmen können und nicht befürchten müssen, dass ihre Sammlungen in Gefahr geraten.
Auch bei der Höhe der Verluste konnte der Betreiber die Wogen glätten. Demnach sind NFTs im Wert von rund 3 Millionen US-Dollar gestohlen worden. Dennoch kursierte zunächst das Gerücht, dass es sich um einen Schaden im Wert von 200 Millionen US-Dollar handelt.
Ein simpler Phishing-Angriff
Es ist zwar bitter für die Betroffenen, aber sie sind einer simplen Phishing-Attacke auf den Leim gegangen. Dabei verschickt der Angreifer E-Mails an potenzielle Opfer, die den Eindruck erwecken, dass sie von einer offiziellen und vertrauenswürdigen Stelle stammen. Häufig enthalten die Mails Handlungsaufforderungen mit einem Link, der die Opfer zu einer nachgemachten Seite umleitet.
Geben diese dann dort Zugangsdaten, Seeds oder Private Keys ein, dann schnappt die Falle zu. Im Fall von OpenSea sind nach bisherigem Kenntnisstand 17 Nutzer betroffen worden, die anscheinend alle Transaktionen selber genehmigt haben. Daher tappten sie also in eine Falle und genehmigten selbst den Versand der NFTs an den Täter, ohne zu prüfen, ob die Transaktion und die Permission auch legitim sind.
Dieser erbeutete wohl 250 NFTs im Wert von knapp 3 Millionen US-Dollar und konnte in relativ kurzer Zeit 1,7 Millionen US-Dollar davon in Ethereum umsetzen. Wie in diesen Fällen üblich, steht seine Ethereum-Adresse nun unter Beobachtung und unlängst begann eine Schnitzeljagd, wohin der Täter Token und Kryptowährungen verschiebt.
Burner-Wallets als wirksamer Schutz
Um sich bzw. die eigene Sammlung zu schützen, empfiehlt sich die Verwendung von sogenannten Burner-Wallets. Diese werden nur einmalig verwendet, um beispielsweise ein NFT zu kaufen oder zu verkaufen. Danach versendet man den Erlös an die eigentliche Adresse, auf der man seine Werte dauerhaft hält.
Die Idee dahinter ist, dass ein Angreifer auf diesem Weg niemals den Zugang auf den ganzen „Hort“ bekommt, sondern nur auf einen Bruchteil. Neben Phishing schützt man sich so auch vor fehlerhaften Smart Contracts. Nicht selten geben Nutzer ihren favorisierten Applikationen pauschale Erlaubnis zur Interaktion mit dem eigenen Wallet.
Schleicht sich dann ein Fehler ein oder erweist sich die Gegenstelle als bösartig, dann kann es zu Verlusten kommen. Ein Burner-Wallet verhindert das zwar, ist aber auch teurer, weil zusätzliche Transaktionskosten für den Versand zwischen den Wallets entstehen. Außerdem muss man auch bei der einmaligen Verwendung eines Wallets entsprechende Backups machen, um einem Datenverlust vorzubeugen. Sofern man jedoch hohe Vermögenswerte verwaltet, so sollte man den Aufwand nicht scheuen.