Değiştirilemez token (NFT) alım satım platformu OpenSea’nin, platformdaki etkin olmayan NFT‘leri kaldırmak için bir hafta boyunca planlanmış bir yükseltmeyi duyurduktan sonra saatler içinde devam eden bir kimlik avı saldırısının kurbanı olduğu bildirildi.
OpenSea Kimlik Avı Saldırısına Kurban Gitti
Dünyanın en büyük NFT marketplace’i olan OpenSea, uzun süredir yaşadığı kullanıcı şikayetlerinin ardından sorunları çözmek için çalışmalarını sürdürüyordu. Öyle ki OpenSea, son yayınlanan güncellemeden sadece saatler sonra bir kimlik avı saldırısı ile karşı karşıya kaldı.
Kullanıcılar sabah saatlerinde Cool Cats ve Doodle koleksiyonlarından NFT’ler de dahil olmak üzere dijital varlıkların çalındığını bildiren paylaşımlar yapmaya başladı.
OpenSea, olayın ardından yaptığı açıklama ile, OpenSea ile ilgili akıllı sözleşmelerle ilişkili bir istismar söylentilerini aktif olarak araştırdıklarını belirtti.
Bununla birlikte yaşanan bu saldırının ardından açıklamalarda bulunan OpenSea kurucu ortağı ve CEO’su Devin Finzer, açıklamalarında şu ifadelere yer verdi;
“OpenSea web sitesine bağlı olduğuna inanmıyoruz. Şu ana kadar 32 kullanıcı bir saldırgandan kötü niyetli bir yük imzalamış ve NFT’lerinden bazıları çalınmış görünüyor.”
OpenSea Güncellemesi Hacker’lara Fırsat Yarattı
OpenSea bir süredir platformda yaşanan listeleme sorunu ile karşı karşıya kalmıştı. OpenSea‘nın geliştirici ekibi bu sorunu çözmek için çalışmalarına devam ediyor ve zaman zaman yeni güncellemeler yayınlıyordu.
Ancak yayınlanan bu son güncellemenin bilgisayar korsanları için küçük bir fırsat penceresi açtığı düşünülüyor. Öyle ki OpenSea’nin yükseltme duyurusundan birkaç saat sonra, birden fazla kaynaktan, yakında listeden çıkarılacak NFT‘leri hedef alan devam eden bir saldırı hakkında raporlar ortaya çıktı.
Olayın arıdandan yapılan araştırmaların sonucunda, saldırganların, OpenSea‘nin yeni akıllı sözleşmesi üzerinden taşınmadan önce NFT’leri çalmak için kimlik avı e-postaları kullandığını ortaya çıktı. Bir kullanıcı sahte e-postadan NFT geçişine izin verdiğinde, saldırganlar NFT’lere erişim kazanır.
Henüz OpenSea tarafından kesin bir açıklama yapılmamış olsa da, bu olayın büyük olasılıkla kimlik avı saldırısı olduğu düşünülüyor. Kullanıcılar, kimlik avı e-postasında belirtildiği şekilde “taşıma” yetkisi verir ve yetkilendirme maalesef bilgisayar korsanının değerli NFT’leri çalmasına izin verir.
Bununla birlikte OpenSea, kullanıcılara artık yeni akıllı sözleşmeye geçişle ilgili tüm izinleri iptal etmenin yanı sıra OpenSea’den gelen tüm iletişimlere karşı dikkatli olmaları konusunda uyardı.