OpenSea ist der größte NFT-Marktplatz. In den vergangenen Stunden meldeten mehrere Nutzer, dass ihre NFTs auf der Plattform verloren gingen. Digitale Kunstwerke im Wert von über 2,8 Millionen US-Dollar gingen verloren. Ist OpenSea Opfer eines Hacks?

Wurde OpenSea Opfer eines Hacks?

Vor einigen Stunden kamen Gerüchte auf, wonach OpenSea Opfer eines Hacks geworden ist. Immer wieder meldeten Nutzer, dass ihre NFTs plötzlich aus ihren Wallets verschwanden.

Im Zentrum der Gerüchte stand eine Veränderung im Code der Webseite, die OpenSea vor zwei Tagen vornahm. Nutzer vermuteten, dass dadurch eine Schwachstelle entstand, die ein Hacker nun ausnutzt.

Nach verschiedenen Nutzeranfragen schrieb OpenSea auf Twitter:

Wir untersuchen Gerüchte, wonach eine Schwachstelle in OpenSeas Smart Contracts ausgenutzt wird. Offenbar handelt es sich um einen Phishing-Angriff.

Viele Nutzer beruhigte diese Aussage nicht. Sie beharren darauf, dass eine Schwachstelle seitens OpenSea vorliegt.

Verloren Nutzer ihre NFTs durch Phishing im Namen von OpenSea?

Um die Nutzer seiner Plattform zu beruhigen, schaltete sich der Geschäftsführer und Mitgründer von OpenSea ein. Devin Finzer machte deutlich, dass es keine Informationen über eine Schwachstelle im Code gebe.

Stattdessen sei davon auszugehen, dass 32 Nutzer einem Phishing-Angriff aufgesessen sind. Der Angreifer habe seinen Opfern E-Mails geschickt, die im Stil von OpenSea gestaltet waren.

Durch E-Mail-Spoofing waren die Opfer unvorsichtig und klickten Links an, auf denen sie dann ihre Web-Wallet verbanden und empfindliche Informationen an die Betreiber der falschen Webseite übermittelten.

Die Angreifer konnten so Zugang zu den Konten der Opfer erlangen und die NFTs eigenhändig verschicken oder verkaufen. Mehrere Nutzer zweifelten den von Finzer konstruierten Hergang an.

Welcher Schaden entstand Nutzern von OpenSea durch den Zwischenfall?

Auf Twitter kam die Behauptung auf, der Angreifer habe es geschafft, 200 Millionen US-Dollar durch seine Tätigkeit zu erbeuten. Finzer schrieb hingegen, dass diese Zahl rein fiktiv ist.

Tatsächlich wäre es gelungen, 1,7 Millionen US-Dollar zu erbeuten. Dieser Betrag befinde sich in Form von Ethereum noch im Wallet des Angreifers.

Außerdem sei dieser schon über mehrere Stunden nicht aktiv gewesen. Wahrscheinlich sei auch eine lange Vorbereitungszeit. Der Angreifer habe viele Kontodaten über einen langen Zeitraum gesammelt und diese erst vor wenigen Stunden ausgenutzt.

Daher kam eine große Anzahl an Verlusten im gleichen Zeitraum. Um Fehler dieser Art zu vermeiden, sollen sich Nutzer versichern, ihr Web-Wallet nur zu OpenSea oder einer anderen legitimen Plattform zu verbinden.

Genaueren Angaben zufolge, habe der Angreifer Smart Contracts erstellt, die leer waren und durch die Bestätigung der Opfer Daten ihrer Web-Wallet abgriffen. Dieser Vorgang ermögliche es aber, den Verlust der NFTs nachzuverfolgen.

Die verdächtige Blockchain-Adresse habe bislang nur Zugriff auf NFTs erlangt, deren Eigentümer zuvor den leeren Vertrag unterschrieben. Betroffene werden gebeten, sich beim Kundendienst von OpenSea zu melden.

Verluste auf OpenSea höher als gedacht

Erst vor einer Stunde fiel die verdächtige Wallet-Adresse wieder auf. Wie PeckShield meldet, sendete der Angreifer 1.100 Ethereum zum Ethereum Mixer Tornado Cash, um seine Spuren zu verwischen.

Die entstandenen Schäden liegen jedoch über den offiziellen Angaben von OpenSea. Statt 1,7 Millionen US-Dollar, erbeutete der Angreifer über 2,8 Millionen US-Dollar in Form von Ethereum.

Bekannt ist, dass der Angreifer vor allem wertvolle NFT Kollektionen wie den Bored Ape Yacht Club (BAYC) ins Visier nahm. Weniger wertvolle NFTs schickte er teilweise sogar freiwillig zurück.

Die 10 besten Krypto-Börsen 2022

In unserem Börsenvergleich findest du die besten 10 Anbieter, um Kryptowährungen wie Bitcoin einfach und sicher zu kaufen.