NFT e truffe su OpenSea: fatto il mercato, trovato l'inganno per rubare criptovalute

13 Ottobre 2021 8

Fatto il mercato, trovato l'inganno, verrebbe da dire parafrasando il noto proverbio, visto che gli NFT acquistano sempre più popolarità e, parallelamente, crescono i tentativi di sfruttarli per ottenere profitti illeciti. Lo dimostra la vicenda relativa a OpenSea, una delle più note piattaforme per la compravendita di Non-Fungible Token.

I gestori del servizio hanno confermato di aver recentemente chiuso una falla nella sicurezza che permetteva di rubare cripotovalute utilizzando NFT malevoli, vale a dire appositamente progettati per raggiungere il fine illecito. Come chiarito dai ricercatori Check Point Research, perché la truffa andasse a buon fine era necessaria una certa dose di collaborazione da parte della vittima che, senza rendersene conto, forniva informazioni riservate ai truffatori.

Il messaggio di conferma del trasferimento dei fondi conclude la truffa. Un click dato alla leggera può prosciugare il wallet

Tutto parte con un NFT ricevuto in omaggio e si manifesta quando la vittima decide di visualizzarlo - tasto destro del mouse e "apri in un nuovo tab" - e sono state installate nel browser estensioni per la gestione del crypto-wallet. All'apertura dell'NFT appare una prima finestra popup che chiede di collegare storage.opensea.io (il dominio di archiviazione di OpenSea) al wallet, l'utente accetta e concede così l'accesso. L'hacker riesce poi ad impossessandosi del denaro con un secondo messaggio popup che documenta il trasferimento dei fondi; un click in questa finestra può essere fatale per il patrimonio della vittima. Certo, per difendersi basterebbe leggere attentamente i messaggi e ponderare bene a cosa si sta acconsentendo, ma più di un utente ha dichiarato di essere stato tratto in inganno.

C'è di buono che, appena un'ora dopo la comunicazione della falla da parte dei ricercatori di CPR, OpenSea è intervenuta con un'apposita patch correttiva. Tale tipo di truffa, con questa tecnica, e almeno per il momento, non può più essere messa a segno su OpenSea. L'azienda - a differenza da quanto affermato dalle presunte vittime - dice di non essere al corrente di casi documentati in cui la vulnerabilità è stata effettivamente sfruttata, al tempo stesso aggiunge:

ci stiamo coordinando direttamente con i wallet di terze parti che si integrano con la nostra piattaforma per aiutare gli utenti a meglio identificare le richieste truffaldine, e a contrastare truffe e phishing con maggiore efficacia.

Considerato che il il mercato degli NFT è in espansione, è facile immagine che tentativi di truffa simili a quello appena descritto non mancheranno in futuro. In assenza di correttivi specifici, a fare la differenza può essere l'utente stesso prestando la massima attenzione ai consensi che concede per accedere al suo wallet.

VIDEO


8

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Pistacchio
Pistacchio

Hahahahaha!!!
Lo sapevo.... :(

T. P.

io ne ho preso qualcuno aggratis regalato da ms...
credo valore zero ma chissà che non tornino utili ai nipoti! :)

Surak 2.04

Praticamente una truffa matrioska

Zeronegativo

si anch'io, non mi piace stare con le tirchie. E' giusto che paghino la mia tariffa se vogliono fare sesso.

Giorgio

Si beh, sono un babbeo può credere che la block chain o staminkia siano le soluzioni definitive per la trasparenza o la sicurezza, che la rete ci salverà e che le auto elettriche sono ecologiche al 100%......e lo so che è un calderone di argomenti slegati ma di solito i fighetti millennials hanno questi capisaldi senza costrutto in testa.

Sheldon Cooper

Se una ragazza mi dice che fà sesso gratis qualche domanda me la pongo ...

Spotify, Apple Music e gli altri: chi vincerà sul ring dello streaming musicale?

Xiaomi 11T ufficiale con Pro, 11 Lite NE e Pad 5. PREZZI e disponibilità Italia

Internet down: migliaia di siti offline, tra cui Amazon e Twitch | Cos'è successo

Amazon Prime Day 2021 le date e le offerte già attive: 21 e 22 giugno ufficiale