À medida que os NFTs se tornaram mais populares, os malfeitores que constantemente tentam explorar os usuários dentro do espaço se tornaram mais ativos. Agora, um novo hack envolvendo um recurso no mercado NFT OpenSea ameaça os detentores de NFT por meio de sites de phishing.
Em um anúncio, o projeto antifurto Harpie alertou os usuários do NFT sobre um novo hack envolvendo vendas sem gás na plataforma OpenSea. De acordo com Harpie, os hackers conseguiram roubar milhões em ativos digitais explorando o recurso.
Quando os usuários desejam realizar vendas sem gás na plataforma OpenSea, eles são obrigados a aprovar um pedido de assinatura com uma mensagem ilegível. Com esse recurso, os usuários também podem criar leilões privados com assinaturas ilegíveis.
Hackers have been able to steal NFTs like magic with a little-known OpenSea feature. It's the newest hack, and multiple millions in Apes have been lost to it already.
(🧵1/4) pic.twitter.com/fTK20WQrgh
— Harpie (@harpieio) December 22, 2022
Por causa disso, os sites de phishing têm usado esse recurso para solicitar que suas vítimas assinem uma dessas mensagens ilegíveis. De acordo com Harpie, as assinaturas muitas vezes representam uma etapa necessária para fazer login e acessar o site.
No entanto, as mensagens de login são, na verdade, solicitações de assinatura para realizar uma venda privada dos NFTs da vítima ao golpista por 0 Ether (ETH). Se assinado, enviará as NFTs para o endereço da carteira do hacker.
Além desse golpe, a empresa de segurança blockchain, CertiK, também emitiu recentemente um aviso à comunidade de criptomoedas sobre o que eles descrevem como “ice phishing”. Por meio dessa exploração, os golpistas enganam os usuários do Web3 para que assinem permissões que permitem que os invasores gastem seus tokens. A CertiK observou que o golpe é uma ameaça significativa e exclusiva do mundo Web3.
Em dezembro, um analista mencionou como um golpista usou o recurso de assinatura Seaport sem gás para supostamente roubar 14 NFTs Bored Ape. Depois de realizar uma engenharia social completa, o hacker direcionou a vítima para uma plataforma NFT falsa antes de pedir ao titular que assinasse um contrato. Em seguida, a carteira da vítima foi esvaziada.