Con l'aumento della popolarità dei token non fungibili (NFT) gli operatori malevoli che tentano costantemente di derubare gli utenti di questo settore sono sempre più attivi. Ultimamente, un nuovo attacco che coinvolge una funzione del marketplace NFT OpenSea minaccia i possessori di NFT attraverso siti di phishing. 

In un annuncio, il progetto antifurto Harpie ha messo in guardia gli utenti da un nuovo attacco che propone vendite senza gas sulla piattaforma OpenSea. Secondo Harpie, gli hacker sono riusciti a trafugare milioni in asset digitali sfruttando tale funzione.

Quando gli utenti vogliono effettuare vendite senza gas all'interno della piattaforma OpenSea, devono approvare una richiesta di firma con un messaggio illeggibile. Con questa funzione, gli utenti possono anche creare aste private con firme illeggibili.

Gli hacker sono riusciti a rubare gli NFT come per magia grazie ad una funzione poco conosciuta di OpenSea. Si tratta dell'hack più recente, a causa del quale sono già stati persi diversi milioni di Apes.

Per tal motivo, i siti web di phishing hanno utilizzato questa funzione per chiedere alle loro vittime di firmare uno di questi messaggi illeggibili. Secondo Harpie, le firme spesso si presentano come un passaggio necessario per effettuare il login ed accedere al sito web

Tuttavia, i messaggi di login sono in realtà richieste di firma per effettuare una vendita privata degli NFT della vittima al truffatore per 0 Ether (ETH). Se firmato, il messaggio invia gli NFT all'indirizzo del wallet dell'hacker.

Oltre a questa truffa, la società di sicurezza blockchain CertiK ha recentemente condiviso un avvertimento alla crypto community su ciò che descrive come "ice phishing". Attraverso l'exploit, i truffatori inducono gli utenti Web3 a firmare autorizzazioni che consentono agli aggressori di spendere i loro token. CertiK ha evidenziato che la truffa rappresenta una minaccia significativa, ed è unica nel panorama Web3.

Il 17 dicembre, un analista ha raccontato di come un truffatore abbia utilizzato la funzione di firma Seaport senza gas, sottraendo presumibilmente 14 NFT Bored Ape. Dopo aver eseguito un'accurata attività di social engineering, l'hacker ha indirizzato la vittima verso una piattaforma NFT falsa, per poi richiedere al titolare di firmare un contratto. A questo punto, il wallet della vittima veniva letteralmente prosciugato.