Geçtiğimiz günlerde çok sayıda OpenSea kullanıcı hesaplarının saldırıya uğradığını ortaya çıktı. 200 milyon dolarlık NFT’lerin çalındığına dair söylentiler hızla yayıldı ve OpenSea kullanıcıları Twitter üzerinden platforma sorular sormaya başladılar. Sonraki günlerde olayın boyutu ortaya çıktı.
Hatırlayacaksınız 2 hafta önce de 2 Türk’ün NFT hesaplarının hacklendiğini yazmıştık[1].
OpenSea’de 17 kullanıcının 1.7 milyon dolar değerinde kaybı olduğu tahmin ediliyor. Blockchain güvenlik hizmeti PeckShield tarafından derlenen bir elektronik tabloya göre[2], Bored Ape Yacht Club, Azuki, Doodles ve CloneX’in NFT’leri çalınan varlıklar arasında ama 2 Türk’ün NFT’leri listedeki 254 varlık arasında yok.
Başlangıçta OpenSea’nin kendisini tehlikeye atan bir saldırı olduğu düşünülse de, hırsızlığın meşru kaynaklardan geliyormuş gibi görünen kötü niyetli bağlantıları yaymak için e-postaların kullanımını içeren bir kimlik avı saldırısından geldiği belirlendi. OpenSea şu anda akıllı sözleşme sistemini güncelleme sürecinde. Bilgisayar korsanları bu koşullardan yararlanmış görünüyor.
Bilgisayar korsanları, OpenSea kullanıcılarına, listelerini bu yeni sözleşme sistemine taşımalarına izin verecek bir bağlantıya tıklamalarını isteyen e-postalar gönderdi. Kullanıcılar bu kötü amaçlı bağlantıya tıklayarak farkında olmadan bilgisayar korsanlarına kurbanın Ethereum cüzdanlarından istedikleri varlıkların sahipliğini devretme yeteneği verdi. Olayı Twitter kullanıcısı Neso teknik detayları ile açıkladı. OpenSea CEO’su Devin Finzer’in bunu retweet ettiği görüldü
OpenSea ekibi, hangi Ethereum adresinin hackera ait olduğunu belirledi. Hacker’ın bazı NFT’leri iade ettiği görülüyor. OpenSea ekibi, Finzer’ın tweet’lerine göre adresi ve eylemlerini izliyor.
Saldırının yalnızca 17 OpenSea kullanıcısını etkilediği iddia edilse de, birçok kullanıcı bu saldırıda mı yoksa diğer saldırılarda mı güvenliğinin ihlal edilip edilmediğinden hala emin değil. Bir çok kullanıcı OpenSea açıklaması öncesinde saldırıya uğradığını ve kendilerine cevap verilmediğini söylüyor.
OpenSea’nin kurbanları bir şekilde telafi edip etmeyeceği veya bilgisayar korsanına karşı yasal yollara başvuracağı henüz bilinmiyor. Şu anda OpenSea, bu Şubat ayının başlarında bir Bored Ape Yacht Club NFT’sini bir kimlik avı saldırısında kaybeden Timothy McKimmy tarafından ihmal nedeniyle dava ediliyor. Coindesk, davanın hatalarla dolu olduğunu bildirmesine rağmen, platform yine de ihmal suçlamasıyla karşı karşıya kalabilir.
Bu arada, Fortune’un bildirdiğine göre, OpenSea, sitedeki bir hatanın kötü aktörlerin NFT’leri zorla değerlerinin çok altında satın almalarını mümkün kıldığı da iddia ediliyor.
[1] Alemşah Öztürk ve Yılmaz Aslantürk’ün OpenSea Hesapları Hacklendi