Токены NFT представляют собой цифровые активы, которые связывают право собственности с реальными предметами или объектами, такими как картины, музыка или видео. Их популярность зашкаливает и коллекционеры NFT-токенов не всегда являются продвинутыми крипто-пользователями, чем могут воспользоваться злоумышленники.
Исследователи обнаружили, что хакеры использовали NFT-токены на популярной платформе OpenSea для кражи криптовалют. Они создавали некие NFT и распространяли их бесплатно. Пользователи, принимающие эти токены, становились потенциальными жертвами. Им показывалось уведомление, исходящее из поддомена OpenSea, что требуется подпись для подключения к кошельку. Жертва подключает свой кошелек, чтобы забрать подаренный NFT и тем самым открывает к нему доступ. Дальше появлялся запрос на вторую подпись, который также исходил из домена OpenSea. Пользователь вполне мог не заметить в этом всплывающем окне маленькое примечание, что на самом деле это запрос на транзакцию для вывода средств из кошелька.
Этот инцидент стал возможен потому, что злоумышленники нашли способ загрузить на OpenSea файл изображения SVG, содержащий вредоносный код. Код срабатывал и в других ситуациях, например, когда пользователь просто нажимал на изображение, чтобы посмотреть информацию о токене. В таких случаях тоже появлялось всплывающее окно с просьбой подписаться через кошелек. Хотя OpenSea подобных запросов не делает, большинство пользователей об этом могут не знать.
OpenSea быстро решила проблему и заверила, что пострадавших нет, но отметила, что успешность подобных атак всецело зависит от степени осведомленности самих пользователей.
Исследователи предупреждают, что подобные стратегии хакеров могут со временем появляться на других платформах и работать в раздачах криптовалют (airdrops).