Een reeks paniekerige tweets van NFT artiesten over verdwenen NFT collecties op OpenSea zorgden voor veel tumult op Twitter. Op basis van deze tweets besloot NFT marktplaats OpenSea de geruchten over een mogelijke hack te onderzoeken. OpenSea vermoedt dat slimme contracten die verbonden zijn met het platform – een exploit (kwetsbaarheid) hebben waardoor het NFT artiesten mogelijk kostbare tokens heeft gekost.
OpenSea plaatst updates op Twitter en gaf enkele uren na de eerste geruchten het volgende aan: “We zijn actief bezig om de geruchten over een mogelijke exploit te onderzoeken welke zijn geassocieerd met OpenSea en de gerelateerde smart contracts. Dit lijkt een phishingaanval te zijn die afkomstig is van buiten de website van OpenSea. Wij raden het ten zeerste af om op links buiten opensea.io. te klikken”.
Niet veel later schreef OpenSea CEO Devin Finzer in een tweet dat “32 gebruikers tot nu toe een kwaadaardige payload van een aanvaller hebben ondertekend, en sommige van hun NFT’s zijn gestolen” Hij voegde eraan toe dat het bedrijf “niet op de hoogte is van recente phishing e-mails die naar gebruikers zijn gestuurd” en suggereerde dat een frauduleuze website de schuldige zou kunnen zijn.
OpenSea was van plan om zijn smart contract (in wezen de code die zijn handelsplatform regelt) te herzien door een gloednieuw contract vrij te geven. Het geüpgradede contract moest ervoor zorgen dat oude, inactieve aanbiedingen op het platform uiteindelijk zouden vervallen. Op Twitter deelden handelaren wat ze aanvankelijk hadden gedacht dat officiële OpenSea e-mails waren over het migratieproces naar het nieuwe smart contract. Mogelijk maakte de hacker misbruik van de situatie om NFT artiesten te verwarren en zo de NFT collecties af te pakken.
PeckShield, een blockchain beveiligingsbedrijf dat slimme contracten controleert, verklaarde dat de geruchtmakende exploit “hoogstwaarschijnlijk phishing“ was – in dit geval een kwaadaardig smart contract, verborgen in een veilig lijkend link. OpenSea gaf aan dat diezelfde massamail over het migratieproces een van de mogelijke bronnen van de issue zou kunnen zijn.
Sommige Twitter gebruikers beweren dat het niet phishing is, maar een geval waarbij de hacker misbruik gemaak heeft van slecht geschreven code. OpenSea heeft aangegeven het onderzoek voort te zetten en gevraagd om de resultaten af te wachten.
De wallet van de aanvaller, welke door Etherscan al een label “phish/hack” heeft gekregen, bezit ongeveer 1.7 miljoen dollar aan ETH, evenals drie tokens van de Bored Ape Yacht Club, twee Cool Cats, één Doodle en één Azuki NFT.