Fatto il mercato, trovato l'inganno, verrebbe da dire parafrasando il noto proverbio, visto che gli NFT acquistano sempre più popolarità e, parallelamente, crescono i tentativi di sfruttarli per ottenere profitti illeciti. Lo dimostra la vicenda relativa a OpenSea, una delle più note piattaforme per la compravendita di Non-Fungible Token.

I gestori del servizio hanno confermato di aver recentemente chiuso una falla nella sicurezza che permetteva di rubare cripotovalute utilizzando NFT malevoli, vale a dire appositamente progettati per raggiungere il fine illecito. Come chiarito dai ricercatori Check Point Research, perché la truffa andasse a buon fine era necessaria una certa dose di collaborazione da parte della vittima che, senza rendersene conto, forniva informazioni riservate ai truffatori.

Tutto parte con un NFT ricevuto in omaggio e si manifesta quando la vittima decide di visualizzarlo - tasto destro del mouse e "apri in un nuovo tab" - e sono state installate nel browser estensioni per la gestione del crypto-wallet. All'apertura dell'NFT appare una prima finestra popup che chiede di collegare storage.opensea.io (il dominio di archiviazione di OpenSea) al wallet, l'utente accetta e concede così l'accesso. L'hacker riesce poi ad impossessandosi del denaro con un secondo messaggio popup che documenta il trasferimento dei fondi; un click in questa finestra può essere fatale per il patrimonio della vittima. Certo, per difendersi basterebbe leggere attentamente i messaggi e ponderare bene a cosa si sta acconsentendo, ma più di un utente ha dichiarato di essere stato tratto in inganno.

C'è di buono che, appena un'ora dopo la comunicazione della falla da parte dei ricercatori di CPR, OpenSea è intervenuta con un'apposita patch correttiva. Tale tipo di truffa, con questa tecnica, e almeno per il momento, non può più essere messa a segno su OpenSea. L'azienda - a differenza da quanto affermato dalle presunte vittime - dice di non essere al corrente di casi documentati in cui la vulnerabilità è stata effettivamente sfruttata, al tempo stesso aggiunge:

ci stiamo coordinando direttamente con i wallet di terze parti che si integrano con la nostra piattaforma per aiutare gli utenti a meglio identificare le richieste truffaldine, e a contrastare truffe e phishing con maggiore efficacia.

Considerato che il il mercato degli NFT è in espansione, è facile immagine che tentativi di truffa simili a quello appena descritto non mancheranno in futuro. In assenza di correttivi specifici, a fare la differenza può essere l'utente stesso prestando la massima attenzione ai consensi che concede per accedere al suo wallet.