ביום שבת ה – 19/2/22 מספר גדול של משתמשי פלטפורמת OpenSea למסחר באסימוני NFT (Non Fungible Tokens) גילו שהחשבונות שלהם נפרצו. השמועות הראשונות שנפוצו היו שנגנבו אסימוני NFT בשווי כולל של כ – 200 מיליון דולרים. המשתמשים המודאגים נהרו לטוויטר לבקש הבהרות ותמיכה מצוות OpenSea. מאז, התבהרו הדברים וכיום כבר ברור שאמנם הייתה פריצה אך היא קטנה בהרבה ממה שחשבו תחילה. הפורצים הצליחו לשם ידם על 254 אסימוני NFT אותם גנבו מחשבונותיהם של 17 משתמשי הפלטפורמה הפופולארית. השווי הכולל של האסימונים שנגנבו נאמד בכ – 2 מיליון דולרים. בין הנכסים שנגנבו ישנם NFT של מועדון הקריקטורות Bored Ape Doodles ושל אוספי הציורים Azuki ו – CloneX.

זירת המסחר ב – NFT הגדולה בעולם

זירת המסחר OpenSea נוסדה בשנת 2017 והיא כיום זירת המסחר הגדולה בעולם בנכסי NFT. ל -OpenSea כ – 70 עובדים וכ – 600 אלף משתמשים. בזירה נסחרים מטבעות NFT של מגוון עצום של יצירות מתחומי המוזיקה, האומנות, עולמות המטאוורס, קלפים, שמות דומיין לאתרים, ספורט ועוד. בסך הכל נסחרות למעלה מ – 80 מיליון יצירות בזירה ונפח המסחר שנוהל בה עד כה כבר חצה את רף ה – 11 מיליארד. הזירה גובה עמלה קבועה של 2.5% מכל מכירה שבוצעה בה, עמלה זו נחשבת נמוכה ביחס לזירות אחרות המתמחות במסחר ב – NFT.

תקיפה בשיטת Phishing (“דיוג”)

אם בתחילה ההנחה הייתה שזירת המסחר עצמה היא שנפרצה הרי שבהמשך התברר כי למעשה מדובר במספר פריצות לחשבונות אישיים שאת פרטי הגישה אליהם הצליחו הפורצים להשיג במרמה. OpenSea נמצאים בתקופה בה הם משדרגים את מערך החוזים החכמים שלהם נראה שהפורצים ניצלו עובדה זו ותכננו תקיפת “דיוג” מוצלחת.
ההאקרים שלחו מיילים למשתמשי OpenSea, לכאורה מצוות זירת המסחר עצמה, וביקשו מהם להקיש על קישור שיאפשר להעביר את הרישומים שלהם למערכת החוזים החכמים החדשה. לחיצה על הקישור הזדוני אפשרה להאקרים לקבל לרשותם את היכולת לבצע העברות בעלות על נכסים מארנקי את’ריום של הקורבנות. מנכ”ל OpenSea, דווין פינצר, צייץ מחדש שרשור המסביר בדיוק איך בוצעה הפריצה.

כתובת האת’ריום של הפורצים אותרה

צוות OpenSea זיהה את כתובת האת’ריום השייכת לפורצים ובטוויסט מבלבל נראה שההאקרים החזירו חלק מן ה – NFTs שגנבו, פעילות הכתובת מנוטרת ונראה שהפריצה השפיעה רק על 17 משתמשים של OpenSea אם כי רבים עדיין לא בטוחים אם הם נפגעו בהתקפה זו או התקפות אחרות על הזירה.

בשלב זה עדיין לא ברור אם OpenSea מתכוונת לפצות את קורבנות הפריצה בדרך כלשהי, כך גם לא ידוע אם יעשה ניסיון לנקוט בהליכים משפטיים נגד הפורצים.
נגד OpenSea כבר הוגשה בעבר תביעה, המתבררת בימים אלה, על ידי משתמש שאיבד NFT של מועדון הקריקטורות Bored Ape Doodles במתקפת Phishing מוקדם יותר בחודש פברואר. למרות שנראה על פניו שתביעה זו אינה מוצדקת ומלאה חורים ייתכן שבית המשפט ימצא ש – OpenSea נהגה ברשלנות ולכן היא תצטרך לפצות את המשתמש שאיבד נכס דיגיטלי. מוקדם יותר השנה נאלצה OpenSea להחזיר למשתמשים סכום של 1.8 מיליון דולרים לאחר שבאג באתר אפשר רכישת NFTs בשבריר מערכם הריאלי. סכום זה אינו כה משמעותי עבור הפלטפורמה ששוויה מוערך בכ – 13 מיליארד דולרים.

גניבת ה – NFTs ממשתמשי פלטפורמת OpenSea היא תזכורת טובה לסכנת מתקפות ה – Phishing. באתר OpenSea פורסם באנר המודיע כי נחקרות שמועות אודות פרצה בחוזים החכמים של הפלטפורמה ושכנראה שמדובר במתקפת “דיוג”. ההודעה מסתיימת בהנחיה שכדאי תמיד למלא, אין ללחוץ על קישורים המגיעים מחוץ לדומיין המוכר, במקרה הזה קישור אל אתר שאינו opensea.io.

*אין במאמר זה, בחלקו או במלואו, כל הבטחה להשגת תשואות מהשקעות ואין האמור בו מהווה ייעוץ מקצועי לבצע השקעות בתחום כזה או אחר.