- Burza OpenSea čelila masivnímu phishingovému útoku
- Ten trval tři hodiny, celková škoda činí desítky milionů korun
Pozornost zlodějů kryptoměn se nyní přesouvá i na nezaměnitelné tokeny (non-fungable tokens) a tak bohužel došlo k první velké krádeži NFT na největší tokenové burze OpenSea. Podle informací bezpečnostní služby Blockchain PeckShield odcizil útočník uživatelům celkem 254 nezaměnitelných tokenů. Útok trval tři hodiny a zaměřil se na 32 různých klientských účtů. „Celková škoda činí 641 ethereum, což je hodnota přesahující 38 milionů korun,“ upozornila česká firma DoxoLogic.
Nepřehlédněte: WhatsApp chystá zásadní novinku: umožní přeposílání filmů a videa ve vysoké kvalitě
Krádež NFT za miliony
První větší krádež NFT proběhla ve chvíli, kdy burza OpenSea informovala uživatele o přechodu na nový kontrakt a vyzívala je k aktualizaci svých účtů. Útočník této situace využil k zaslání podvodného e-mailu klientům burzy. V tom jim nabízel možnost ušetření poplatku spojeného se změnou kontraktu. Výměnou za slibované ušetření poplatku následně umožnili klienti útočníkovi přístup ke svým peněženkám. Ten si poté převedl nezaměnitelné tokeny v hodnotě desítek milion korun na vlastní účet. Byly mezi nimi i tokeny ze sbírek Bored Ape Yacht a Azuki.
Každý se může stát obětí phishingu
Útočník na klienty burzy OpenSea využil ke své krádeži tzv. phishingu, tedy podvodné manipulace v kybernetickém prostoru. Jedná se o techniku, která byla již dříve využívána k odcizování kryptoměn. Nyní byla poprvé ve větším měřítku použita i u nezaměnitelných tokenů. S phishingem se ovšem lidé mohou setkat i jinde: se zvyšujícím se počtem útoků se potýkají i lidé v Česku.
Jak se vyhnout phishingu?
Phishingoví útočníci si, stejně jako tomu bylo v případě burzy OpenSea, vybírají známé instituce a v e-mailové komunikaci mluví jejich jménem. Prostřednictvím e-mailu se pak snaží přimět adresáta k akci – může se jednat například o otevření odkazu se škodlivým kódem anebo zaslání citlivých údajů.
Nejúčinnější obrana před phishingem je včas jej rozpoznat. To je možné například na základě špatné gramatiky nebo podezřelé domény. Už samotný požadavek na citlivé informace je pak potenciálním znamením phishingu, protože banky a jim podobné instituce zpravidla nevyžadují osobní údaje e-mailem.
Zdroj náhledové fotografie: Max Bender / Unsplash