Escândalo de phishing da Opensea revela necessidade de segurança em todo o cenário NFT
A vulnerabilidade mais recente do OpenSea apresenta uma questão maior e mais profunda relacionada à infraestrutura de segurança existente do ecossistema NFT global.
Apesar da volatilidade contínua que assola o setor de ativos digitais, um nicho que, sem dúvida, continuou a florescer é o mercado de tokens não fungíveis (NFT). Isso é evidenciado pelo fato de que um número crescente de movimentadores e agitadores convencionais, incluindo Coca-Cola, Adidas, New York Stock Exchange (NYSE) e McDonalds, entre muitos outros, entraram no crescente ecossistema do Metaverso nos últimos meses.
Além disso, devido ao fato de que, apenas ao longo de 2021, as vendas globais de NFT atingiram US$ 40 bilhões, muitos analistas esperam que essa tendência continue no futuro. Por exemplo, o banco de investimento americano Jefferies elevou recentemente sua previsão de valor de mercado para o setor de NFT para mais de US$ 35 bilhões em 2022 e para mais de US$ 80 bilhões em 2025 – uma projeção que também foi ecoada pelo JP Morgan.
No entanto, como acontece com qualquer mercado crescendo a uma taxa tão exponencial, problemas relacionados à segurança também devem ser esperados. A esse respeito, o proeminente mercado de token não fungível (NFT) OpenSea recentemente foi vítima de um ataque de phishing que ocorreu poucas horas depois que a plataforma anunciou sua atualização planejada de uma semana para remover todos os NFTs inativos.
Mergulhando no problema
Em 18 de fevereiro, a OpenSea revelou que iniciaria uma atualização de contrato inteligente, exigindo que todos os seus usuários transferissem seus NFTs listados da blockchain Ethereum para um novo contrato inteligente. Devido à atualização, os usuários que não conseguiram facilitar a migração acima mencionada correram o risco de perder suas listagens antigas e inativas.
Dito isso, devido ao pequeno prazo de migração fornecido pelo OpenSea, os hackers foram apresentados a uma potente janela de oportunidade. Poucas horas após o anúncio, foi revelado que terceiros nefastos iniciaram uma campanha de phishing sofisticada, roubando NFTs de muitos usuários que foram armazenados na plataforma antes que pudessem ser migrados para o novo contrato inteligente.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea’s website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
Fornecendo um detalhamento técnico do assunto, Neeraj Murarka, diretor técnico e cofundador da Bluezelle, uma blockchain para o ecossistema GameFi, disse ao Cointelegraph que, no momento do incidente, a OpenSea estava usando um protocolo chamado Wyvern, um módulo de tecnologia padrão que a maioria dos aplicativos da web NFT faz uso, pois permite o gerenciamento, armazenamento e transferência desses tokens nas carteiras dos usuários.
Como o contrato inteligente com a Wyvern permitia que os usuários trabalhassem com os NFTs armazenados em suas “carteiras”, o hacker conseguiu enviar e-mails para clientes da Opensea disfarçado de representante da plataforma, incentivando-os a assinar transações “cegas”. Murarka acrescentou ainda:
“Metaforicamente, foi como assinar um cheque em branco. Normalmente, não há problema se o beneficiário for o destinatário pretendido. Lembre-se de que um e-mail pode ser enviado por qualquer pessoa, mas pode parecer que foi enviado por outra pessoa. Nesse caso, o beneficiário parece ser um único hacker que conseguiu usar essas transações assinadas para transferir e efetivamente roubar as NFTs desses usuários”.
Além disso, em uma reviravolta interessante dos eventos, após o incidente, o hacker aparentemente devolveu alguns dos NFTs roubados aos seus legítimos proprietários, com esforços adicionais sendo feitos para devolver outros ativos perdidos . Fornecendo sua opinião sobre todo o assunto, Alexander Klus, fundador da Creaton, uma plataforma de criação de conteúdo Web3, disse ao Cointelegraph que a campanha de e-mail de phishing usou uma transação de assinatura maliciosa para aprovar todas as participações para que pudessem ser drenadas a qualquer momento. “Precisamos de melhores padrões de assinatura (EIP-712) para que as pessoas possam realmente ver o que estão fazendo ao aprovar uma transação.”
Por fim, Lior Yaffe, cofundador e diretor da Jelurida, uma empresa de software blockchain, apontou que o episódio foi resultado direto da confusão em torno da atualização mal planejada do contrato inteligente da OpenSea, bem como da arquitetura de aprovação de transações da plataforma.
Os marketplaces NFT precisam intensificar seu jogo de segurança
Na opinião de Murarka, os aplicativos da web que usam o sistema de contrato inteligente Wyvern devem ser aprimorados com melhorias de usabilidade para garantir que os usuários não caiam em ataques de phishing repetidamente, acrescentando:
“Avisos muito claros devem ser feitos para educar o usuário sobre ataques de phishing e deixar claro que os e-mails nunca serão enviados, solicitando que o usuário tome alguma providência. Aplicativos da Web como o OpenSea devem adotar um protocolo estrito para nunca se comunicar com os usuários por e-mail, além de talvez apenas dados de registro.”
Dito isso, ele admitiu que, mesmo que o OpenSea adote os protocolos e padrões de segurança/privacidade mais seguros, ainda cabe a seus usuários se educarem sobre esses riscos. “Infelizmente, o próprio aplicativo da web é frequentemente responsabilizado, mesmo que tenha sido o usuário que sofreu o phishing. Quem é responsável? A resposta não é clara”, observou.
Um sentimento semelhante é compartilhado por Jessie Chan, chefe de equipe do ParallelChain Lab, um ecossistema blockchain descentralizado, que disse ao Cointelegraph que, independentemente de como todo o ataque foi orquestrado, o problema não depende inteiramente dos protocolos de segurança existentes da OpenSea, mas também da conscientização do usuário contra phishing. Permanece a questão de saber se o operador do mercado deveria ter sido capaz de fornecer informações suficientes aos seus usuários para mantê-los informados sobre como lidar com tais cenários.
Outra possibilidade de mitigar possíveis eventos de phishing é fazer com que todas as interações entre os usuários e seus aplicativos da Web sejam conduzidas exclusivamente pelo uso de uma interface móvel/desktop dedicada. “Se todas as interações exigissem o uso de um aplicativo de desktop, esses ataques poderiam ser ignorados completamente.”
Apresentando sua opinião sobre o assunto, Yaffe observou que o principal problema – que está no centro de toda essa questão – é a arquitetura básica da maioria dos mercados NFT, permitindo que os usuários simplesmente assinem uma carta branca de aprovação para um contrato de terceiros para usar sua carteira privada sem definir um limite de gastos:
“Como a equipe da OpenSea realmente não descobriu a origem da operação de phishing, isso pode acontecer novamente na próxima vez que eles tentarem fazer uma alteração em sua arquitetura.”
O que pode ser feito?
Murarka observou que a melhor maneira de eliminar a possibilidade desses ataques é se as pessoas começarem a usar carteiras de hardware. Isso ocorre porque a maioria das carteiras de software, bem como outras soluções de armazenamento de custódia, são muito vulneráveis em seu design geral e perspectiva operacional. Ele elaborou ainda mais: “Assim como Bitcoin, Ethereum, etc, os próprios NFTs devem ser movidos para contas de carteira de hardware em vez de deixá-los em uma plataforma centralizada”, acrescentando:
“Os usuários precisam estar super cientes dos riscos de responder e agir de acordo com os e-mails que recebem. Os e-mails podem ser falsificados com muita facilidade e os usuários precisam ser proativos em relação à segurança de seus ativos criptográficos.”
Outra coisa que os proprietários de NFT precisam lembrar é que eles devem visitar apenas aplicativos da Web que empregam protocolos de segurança de alta qualidade, verificando se os mercados acessados utilizam o mecanismo HTTPS (no mínimo) enquanto podem ver claramente um símbolo de cadeado no superior esquerdo da janela do navegador – que aponta corretamente para a empresa pretendida – ao visitar qualquer página da web.
Yaffe acredita que os usuários devem ter cuidado com as aprovações de contratos e manter um controle preciso dos contratos que receberam no passado. “Os usuários devem revogar aprovações desnecessárias ou inseguras. Se possível, os usuários devem especificar um limite de gastos razoável para cada aprovação de contrato”, conclui.
Por fim, Chan acredita que, em um cenário ideal, os usuários devem manter suas carteiras em uma plataforma dedicada que eles não usam para ler e-mail ou navegar na web, acrescentando que tais vias estão sujeitas a todos os tipos de ataques de terceiros. Ele afirmou ainda:
“Isso é inconveniente, mas quando se trata de bens de grande valor e onde não há recurso em caso de furto, o extremo cuidado se justifica. E, como em todas as transações financeiras, eles devem ter muito cuidado ao decidir com quem negociar, pois as contrapartes também podem roubar seus ativos e desaparecer.”
Portanto, enquanto se move para um futuro impulsionado por NFTs e outras novas ofertas digitais semelhantes, resta ver como as plataformas que operam nesse espaço continuam a evoluir e amadurecer, especialmente à medida que uma quantidade crescente de capital continua entrando no mercado de NFT.