Хакер #305. Многошаговые SQL-инъекции
В прошлом месяце мы уже писали о том, что неизвестные хакеры похищают NFT у пользователей маркетплейса OpenSea. Тогда исследователи сообщали, что проблема связана с багом и повторным выставлением NFT на продажу. Так, пользователи могут выставить NFT на продажу, а затем отменить объявление, обновить его и выставлять лот с новой ценой. Однако, судя по всему, к старому объявлению с изначальное ценой все равно можно было получить доступ через API OpenSea, даже если оно было удалено с самого портала.
В итоге хакеры «покупали» ценные NFT по бросовым ценам с помощью бага, а затем перепродавали намного дороже. К примеру, в одном случае мошенник купил NFT за 1775 долларов США, а затем сразу перепродал почти за 200 000 долларов США.
Как теперь сообщает издание Vice Motherboard, администрация OpenSea вернула деньги многим пользователям, однако некоторые получили компенсацию в полном объеме, тогда как другим предложили компенсировать только 2,5% комиссии площадки, полученной от продажи NFT. По данным журналистов, за последние десять дней OpenSea возместила жертвам около 1 млн долларов.
1/ I haven't posted until now about my Ape being stolen back on Feb 5th, due to the Opensea’s sales glitch. I wanted to give @opensea the opportunity to handle this issue with me internally and in a professional manner. All I got today, 10 days after the incident, was this email https://t.co/BpCkNyG1Fj pic.twitter.com/ratYoP1BGP
— Chap (@chapmoney713) February 15, 2022
Пока остается неясным, каковы критерии компании при возмещении ущерба, и почему ситуации разных людей так отличаются. В OpenSea сообщили, что не комментируют конкретные случаи, связанные с поддержкой клиентов.
Хуже того, атаки на пользователей все еще продолжаются, и теперь на главной странице торговой площадки красуется предупреждение, которое гласит:
«Мы активно расследуем слухи об эксплоите, связанном со смарт-контрактами OpenSea. Похоже, это фишинговая атака, исходящая не от OpenSea. Не переходите по ссылкам за пределами opensea.io».
Также пользователям рекомендуют перейти на новый смарт-контракт, который устраняет ту самую проблему со старыми, но по-прежнему доступными объявлениями. Так как ошибка, судя по всему, уже исправлена, некоторые пользователи предполагают, что теперь злоумышленники устрагивают фишинговые атаки, заманивая жертв на страницу, которая якобы связана с переходом на новый смарт-контракт.
По информации Vice Motherboard, в настоящее время мошенники смогли перевести множество NFT разных пользователей на свой адрес. В числе прочего, были украдены NFT из таких популярных коллекций, как Bored Ape Yacht Club и Mutant Ape Yacht Club.
Злоумышленники уже продали часть NFT: например, предмет из коллекции Azuki ушел за 13,4 ETH (36 380 долларов на момент продажи). В итоге в кошельке хакеров уже находится более 600 ETH, то есть почти 2 млн долларов.
Интересно, что в некоторых случаях мошенники возвращают украденное. Так, в одном случае они похитили множество NFT у одного пользователя, включая ценный BAYC NFT. Хакеры вернули жертве все NFT, кроме упомянутого BAYC, который в настоящее время заморожен из-за подозрительной активности.
