Nel fine settimana nel grande mercato dei Non Fungible Token di OpenSea sono stati rubati centinaia di NFT nella piattaforma. Per l'esattezza si tratta di 254 token, compresi quelli di Decentraland e Bored Ape Yatch Club, per un valore complessivo di 1,7 milioni di dollari. Tra le 17 e le 20 di sabato 19 febbraio si è verificata la maggiore concentrazione da parte degli aggressori, che hanno preso di mira 32 utenti, finiti ovviamente nel panico più totale.
NFT: ecco come è avvenuto il furto su OpenSea
Come è potuto succedere? Secondo l'Amministratore Delegato di OpenSea, Devin Finzer, il furto avrebbe sfruttato una debolezza del protocollo Wyvern, lo standard open source che sta alla base degli smart contract. In pratica, una volta che si crea un NFT, il file digitale viene associato a un indirizzo unico che determina la proprietà del token. Questa viene registrata attraverso un contratto intelligente sulla blockchain, fornendo un codice numerico.
Il danno si sarebbe materializzato in 2 fasi: la prima dove le vittime avrebbero firmato un contratto parziale, dando un'autorizzazione generale e diverse parti lasciate in bianco; la seconda dove gli aggressori hanno completato il contratto con un trasferimento di proprietà degli NFT senza pagare un centesimo. In pratica, i venditori avrebbero come firmato un assegno compilato poi dai malviventi.
Molti aspetti tuttavia rimangono ancora oscuri, come ad esempio il metodo che è stato utilizzato per convincere i bersagli a firmare un contratto quasi in bianco. Finzer ha riferito che gli attacchi non sono stati orchestrati direttamente dagli account degli utenti, ma vi è stata un'e-mail phishing che è stata aperta dagli stessi utenti caduti in trappola e attraverso la quale sono stati rubati gli NFT. Gli utenti invece pensano che non si sia trattato di phishing, bensì di exploit, ossia di un bug della piattaforma per mezzo del quale gli aggressori si sono infilati.
La differenza è importantissima perché avrà implicazioni diverse anche a livello legale. Nel primo caso infatti è difficile ottenere un rimborso del maltolto, in quanto la vicenda esula dalla responsabilità di OpenSea. Nel secondo caso viceversa la piattaforma è responsabile e quindi dovrebbe restituire il valore dei beni trafugati ai legittimi proprietari.
OpenSea: è sicura la piattaforma ora?
OpenSea è il più grande mercato dove è possibile scambiare token non fungibili e oggi ha raggiunto un valore complessivo di 13 miliardi di dollari, sfruttando un autentico boom di questa tipologia di beni. Gli utenti hanno la possibilità di interagire nella piattaforma attraverso lo sfoglio di un lungo elenco di token, dove possono effettuare le loro offerte senza passare direttamente per la blockchain.
Tuttavia, nel tempo la società che gestisce la piattaforma ha dovuto affrontare diversi problemi relativi agli attacchi di utenti malintenzionati che utilizzavano vecchi contratti per rubare beni preziosi dei partecipanti. Cosa questa che ha a volte sollevato alcuni dubbi sulla sicurezza.
Nel caso specifico, OpenSea stava eseguendo l'aggiornamento dei contratti in essere quando è avvenuto il fatto, però il marketplace nega che ciò abbia avuto origine con i nuovi contratti. La vulnerabilità della piattaforma non è messa in discussione dalla società, perché il numero di obiettivi è relativamente piccolo e altrimenti avrebbe una risonanza molto più estesa.
Vuoi diventare un esperto di Cryptovalute? Partecipa al corso e diventa un Crypto Specialist ottenendo il tuo attestato